На сервере генерировать токен, привязанный ко времени и секрету, известному только вашему серверу. Например time=12345&hash=abcdef.
Можно в хэш включить ещё и IP адрес, с которого зашёл очередной клиент, и его User-agent.
Тогда клиенты, запущенные с вашего сервера будут иметь в коде верный токен, свежий, не старше, скажем, 15 минут. И будут его прикладывать к каждому запросу к API.
Злодеям придётся как-то узнавать каждый новый токен каждые 15 минут.
