Как вы проверяете, что запрос API поступил из определенного домена?

У меня есть веб-API, которому я хочу разрешить любому домену отправлять данные. Однако, чтобы предотвратить поддельный спам, я хочу найти какой-нибудь способ убедиться, что запрос, в котором указано, что он из определенного домена, на самом деле из этого домена и что кто-то не пытается обмануть меня, публикуя от имени другого домена.

Например, если http://example.com предоставляет некоторые данные - это хорошо. Если сценарий kiddie #237 отправляет данные, утверждающие, что example.com - это плохой.

Сначала я собирался использовать систему секретных ключей для подписи HMAC каждого запроса, но регистрация будет открытой, бесплатной и автоматизированной для этого API. Я не уверен, как я мог бы сказать, действительно ли ПерсонА или ПерсонБ владеет http://example.com и заслуживает ключа API.