Как безопасно узнать реферера/реферера в HTTP-запросе?

Я использую nodejs для написания службы загрузки изображений. Платные клиенты смогут отправлять файл изображения на мою конечную точку, которую я настроил на своем сервере. Однако, когда приходит каждый запрос, мне нужно подтвердить, что на самом деле это платный клиент, делающий запрос. Я подумал о том, чтобы клиент дал мне свое доменное имя, а я бы просто проверил заголовок реферера. Однако кто-то может легко подделать заголовок реферера и воспользоваться моей услугой без оплаты. Как разработчики SaaS решают эту техническую проблему? Можно ли исправить это, не требуя, чтобы мои клиенты имели код на стороне сервера?