Es que el problema radica en que no debes confiar del referer, se supone que la API-KEY debe ser privada y por ende ningún otro sitio no autorizado debería poder usarla.

Si mas de un cliente usa la misma clave ya estás cayendo en una contradicción, y aunado a que no debes confiar en el referer ya estás metido en un gran lío.

Sin embargo, y por dar un ejemplo, la API de Twitter no hace ese tipo de consideraciones locas; con la misma clave puedes ejecutar su API en cualquier dominio, claro está que el callback de oAuth apunta solo hacía un dominio especifico.

Pero eso solo en el punto de autorizar a la aplicación, pasado esto y obtenidos los tokens de acceso pueden emplearse donde quieras, sin limitaciones de dominio.

Quizá deberías replantear un poco el mecanismo de tu API, tal vez.