Gracias por responder!!!

Referente al método de usuario/contraseña y token es el primero que pensé, pero con un pequeño esfuerzo de ingeniería inversa se puede emular cualquier dispositivo y al final seria lo mismo que no implementar seguridad alguna, creo que mas bien, lo que busco es una manera de identificar quien es el que manda la solicitud, por ejemplo, en conexiones web se puede verificar que dominio es el que manda la solicitud, con esto se puede saber si es un cliente "oficial" o no

De todas maneras gracias por contestar