Защита API для использования с виджетом Javascript

Я пишу подключаемый модуль javascript, который будет установлен блогерами/владельцами веб-сайтов . Он будет взаимодействовать с моим удаленным API.

Мне интересно, как защитить API, чтобы только домены, принадлежащие пользователям, зарегистрировавшим учетную запись в службе, могли получить доступ к ресурсам из API. Я читал на OAuth2 и понимаю основы, но поскольку плагин будет работать из браузера, а не от сервера к серверу, я не уверен, насколько это может быть безопасно.

Тонны услуг. такие как mixpanel, google analytics, olark используют ту же концепцию (т.е. владелец веб-сайта устанавливает строку JS на своем сайте), так что это должна быть решенная проблема.