Pode ser feito com uma chave nos parâmetros da API ou nos headers contendo a chave de autenticação, que pode ser qualquer coisa. Crie um padrão pra chave e faça condicionais nesses padrões antes de verificar a chave com o banco de dados. Vai te poupar processamento em caso de bruteforce. Abraços e boa sorte!