api_key ataması yapabilirsin.
kişi sana post ile api_key i doğru bi şekilde yollarsa çıktı verirsin.
veya bir request atıp session açar ordan bi key verirsin ona 5dk sonra expire olacak şekilde 5dk boyunca onu kullanır yeni request attığında 5dk dolarsa api_key expire dersin baştan gider request açıp session açar vs.

oauth diye hazır bir sistem var onu kullanabilirsin.
http://stackoverflow.com/a/9511138