Аутентификация хост-API с использованием Javascript

Я строю интерфейс Javascript для взаимодействия с API, написанным на PHP. Я хочу создать веб-страницу для аутентификации пользователей, но цель веб-страницы — создать определенный ключ для доступа к API с определенного хоста, по одному ключу от каждого хоста.

Ведущий: example.com, ключ: <generated_key>

Затем, когда ключ сгенерирован, идея состоит в том, чтобы добавить ключ к запросу сценария http следующим образом:

<script type="text/javascript" src="https://res.server.com/scripts.js?key=<generated_key>">

Но я хочу, чтобы серверу не нужны учетные данные от пользователя, который создает ключ, скрипт может быть запрошен на любой странице с хоста example.com,

Идея состоит в том, чтобы создать аналитику из использования и связанных данных, но это может быть относительно example.com, Никто не может включить то же самое script тег на его веб-странице или использовать другой метод, чтобы создать данные для example.com,

Я знаю, что не могу, доверять HTTP_... заголовки, потому что ими можно манипулировать, но:

1. Могу ли я точно знать, что example.com это единственный, который включает в себя script тег, сгенерировавший запрос? Как?

2. Если ключ открытый, он необходим или достаточно доверять (1)?

Заранее спасибо.