Как мне защитить REST-вызовы, которые я делаю в приложении?

У меня есть приложение с «частным» REST API; Я использую URL-адреса RESTful при вызовах Ajax с моих собственных веб-страниц. Однако это небезопасно, и любой мог бы сделать те же вызовы, если бы знал шаблоны URL.

Какой лучший (или стандартный) способ защитить эти вызовы? Стоит ли сейчас смотреть на что-то вроде OAuth, если я собираюсь выпустить API в будущем, или я смешиваю две отдельные стратегии вместе?

Я использую Google App Engine для Python и Tipfy.