Авторизация с помощью ключа

Хочу сделать авторизацию с помощью ключа, но появилось много вопрос.
[По идеии]
На первом сайте у меня авторизация нормальная через Login,Password, авторизация храниться в сессии. При заходе на второй сайт отправляется запрос на сервер второго сайта, который в следствии отправляет запрос на первый.

Сайт #2 > Сервер #2 > Сервер #1 (Да я знаю что можно без такой лабуды, а сразу Сайт #2 > Сервер #1)
Но как узнать что запрос именно отправлен пользователем который авторизовался.
Знаю что можно хранить ключ в куках auth_key=ключ в md5 или auth_key=ключ в base64(логин и пароль(пароль в md5)), но кражу ни отменял(не знаю как определить владельца, даже если он уже авторизован на первом сайте, или если куки с ключом был украден).