api sunucusunu ayırıp güvenlik duvarıyla IP veya hostname izni verebilirsin veya PHP ile istek atanın IP'sini alıp izin verdiğin listede değilse die verebilirsin.
Sanırım en mantıklı çözüm ip adresi doğrulaması olacaktır hem böylesi biraz daha esneklik katacaktır teşekkürler cevap için