Bueno, finalmente optamos por una vía diferente, debido a que ninguna de las cinco posibilidades resultaba viable.
Por lo pronto, ninguna que requiriese una doble petición o la intervención de dos servidores era funcional. Como el request llegará siempre una única vez, y no debe consultar mas datos que los que recibe, entonces tenemos que bloquear los accesos ilegales sólo con lo que recibimos. De alli la idea del HTTP_REFERER.
Infortunadamente el HTTP_REFERER se nos presenta como inseguro, cuando no es que simplemente no llega por diferentes razones (servidores, firewalls, antivirus). La gente del webserver no nos puede asegurar que recibamos datos por ese camino.
Lo que hicimos es simplemente que uno de los datos críticos y de uso único nos llegue encriptado, con una herramienta de encriptación que nosotros mismos pusimos en la base, y que desde el lado de la app cliente sólo puede ser accedida por esa app. AL recibirlo lo desencriptamos y si no es un dato valido, no pasa. Y como además sólo desencriptamos por SP, no es vulnerable tampoco al sql-injection.
Funciona.