Ni. Lo que carece es de sentido. Si el algoritmo de la aplicación esta en el servidor tuyo, y si no puede conectarse a tu servidor no puede ejecutar el script, ¿Que sentido tiene darle al cliente algo? para eso le das un subdominio de tu servidor y un sistema de logueo y listo.

En cualquier caso, si insistes en darle a los clientes la posibilidad de tener algo en su servidor, lo mas facil es registrar la ip de su servidor, de esta forma tu webservice solo responde a peticiones de las ip registradas y habilitadas.

Lo que hacen Facebook (Que fue el que creo la maquina virtual que te mencione), Google, Twitter, Etc de usar esas claves, es porque ellos no saben quienes se van a conectar y desde donde, son aplicaciones gratuitas y abiertas, si tu vas licenciar a tus clientes sabes de antemano donde van a usarlo.

Si insistes por esa via, el algoritmo oauth2 es el mas usado por exelencia, aun asi, ninguna empresa que lo usa confia plenamente en el.

Google por ejemplo, con la venida de la version 3 de sus apis, ya dejo de confiar en este algoritmo (lo usaba en las versiones anteriores como medio de autentificacion), tu tienes un panel dentro de tu cuenta de developer (en la pagina de ellos) donde debes poner la ip del servidor que va a usar un clave que ellos te generan. De esta forma, la clave solo es valida si es usada desde la ip que tu registraste y asi pueden medir cuanto uso haces de sus servicios e imponerte limitaciones segun sus politicas vigentes.