Как защитить частный REST API в приложении AJAX

Я знаю, что есть много подобных вопросов, но ни один из них не относится к приложению HTML/javascript, где пользователь может получить доступ к коду.

У меня есть частный REST API, написанный на nodejs. Он частный, потому что его единственная цель - сервер моих клиентских приложений HTML5 (приложение Chrome и приложение Adobe Air). Поэтому ключ API не является хорошим решением, так как любой пользователь может увидеть код javascript.

Я хочу избежать создания ботами учетных записей на моем сервере и потребления моих ресурсов.

Есть ли способ добиться этого?