Если хотите защититься от того что-бы кто-то во фронте использовал ваше API, то можно использовать
https://developer.mozilla.org/ru/docs/Web/HTTP/CORS.
Если хотите защититься от чьего-то бекэнда - то тут намного сложнее, почти невозможно. Скорее всего это отслеживать и банить. Или при какой-то плотности запросов выдавать запрос на капчу.