¿Como asegurar peticiones a API desde Javascript?

Hola a todos.

El Contexto

He desarrollado un API en PHP y un cliente en Javascript y HTML, ambos componen mi aplicación. Todo funciona de maravilla. El cliente hace las peticiones a la API a través de Ajax, la API las procesa y retorna un resultado al cliente para ser mostrado.

El Problema

Ambos funcionan perfectamente en el mismo HOST. Pero si alguien mas desde otro lugar hace peticiones a la API esta le responderá. En este punto modifique la API para que respondiera solo si existía una sesión activa en el servidor.

Lo cual me genera dos inquietudes mas. Primero. no puedo proteger la parte de autenticacion del usuario en la API con el método anterior puesto que por lógica no existe una sesión activa porque apenas va a iniciarla.

y la segunda, Si existe un usuario mal intencionado que posee una sesión activa decide realizar peticiones a la API con los valores que este desee lo podría hacer.

La solución (en teoría)

Que la API solo acepte peticiones del cliente, con algún tipo de llave secreta que acompañe las mismas, pero recuerden que el cliente esta 100% hecho en JS y HTML lo cual impide almacenar de cualquier forma la llave en este.

Alguien puede ayudarme con este problema

No estoy muy seguro, he trabajado un poco con las apis de twitter que estan diseñadas con rest, utilizan OAuth dale una checada a este link podria ayudarte, nunca he implementado Oauth pero he visto que funcion muy bien con apis

http://hueniverse.com/2010/05/introducing-oauth-2-0/