Веб-служба REST и ключи API

У меня есть веб-сервис, который я предлагаю пользователям подключиться к моей базе данных приложений и получить некоторую информацию. Пользователи должны зарегистрироваться для получения ключа API и предоставлять его при отправке запросов. Все работает нормально, но как мне проверить, действительно ли пользователи, которые зарегистрировались для получения ключа, делают запрос, а не кто-то другой, кому он мог дать ключ?

Последние два дня я думал, как найти решение, но пока ничего.