PHP 驱动的 API 如何跨域验证真正的客户端(引用）(知道标头可能是欺骗的）

使用 PHP，您如何使用以下条件安全地验证跨域的 API 调用：

1. 必须从给定 domain.com/page 调用（无其他域）
2. 必须具有给定的密钥

一些背景：请在回答之前仔细阅读...

我的 Web 应用程序将通过如下所示的调用在客户网站上显示一个 javascript 小部件。因此，我们谈论的是跨域身份验证，用于要提供的脚本，但仅适用于真正的客户端和给定的URL！

目前，小部件可以通过单行javascript包含在客户端的网站中。

示例 client-website.com/page/with/my-widget

<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>

现在，实际上，这不是直接调用javascript，而是在我的远程服务器上调用PHP脚本，该脚本位于实际的javascript前面，用于执行一些身份验证。

上述调用背后的 PHP 脚本首先执行此操作：

1. 检查 API 密钥 （$_REQUEST["key"]） 是否与数据库中的用户记录匹配。
2. 根据数据库中的 A 记录检查引荐来源网址的 （$_SERVER['HTTP_REFERER']）***。

这是简化的，但本质上服务器看起来像：

if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
  && $_REQUEST["Key"] == "the_long_api_key") {
    header("Content-type: application/x-javascript");
    echo file_get_contents($thewidgetJS_in_secret_location_on_server);
} else {
  //pretend to be a 404 page not found or some funky thing like that
}

小部件只允许在某些网站/页面上运行

现在，问题来了：

密钥
1. 位于客户端，因此任何人都可以查看源代码并获取密钥
2. 例如，引荐来源网址可以被欺骗（通过cURL）

还有一个小障碍：我不能告诉客户端将密钥粘贴在服务器上的 php 脚本中，因为它们可能正在运行任何服务器端语言！

那么，如何使我的 Web 服务安全且只能由给定域/页面访问呢？

任何帮助将不胜感激！

ps：该小部件会上传到一种投递箱 - 所以安全性是这里的关键！