Как обеспечить безопасность API

У меня есть большое количество сервисом и все они общаются с API. Например фронтенд делает запросы и меняет ОЧЕНЬ важные параметры у пользователя. CORS тут не подходит, т.к другие сервисы это не сайты, а игры и им тоже нужно общаться с API. На данный момент использую api_key, но его видно в браузере. Подскажите как быть