Recientemente surgió una situación en la que un cliente desea una API pública que no requiera registro o inicio de sesión por parte del usuario (sin contraseña). El equipo de seguridad ha identificado que la API del lado del servidor necesita implementar un esquema de autenticación que el cliente pueda usar para evitar el acceso a la API.
Hasta ahora, todos los esquemas que parecen usarse con un secreto expuesto del lado del cliente se basan en la idea de que el dominio original puede protegerse. Por lo tanto, se espera que el agente del usuario del lado del cliente cumpla con las políticas de seguridad establecidas con respecto al origen del dominio de la solicitud.
Ejemplo: enlace
Mi pregunta es ¿qué impide que alguien use un servidor proxy en un dominio diferente, que use la clave expuesta del lado del cliente y actúe como un agente de usuario incorrecto, por lo que falsificar los encabezados de dominio de solicitud para establecer la confianza? El diagrama para visualizar el escenario 
¿Cuál es el esquema de seguridad de autenticación más establecido para este tipo de escenario?
Con suerte, alguien puede ayudar a aclarar esto, ya que realmente estoy luchando por entender qué tan seguros son los esquemas de contraseña.