Para proteger suas APIs, você precisa de um mecanismo para detectar que a solicitação para a API é feita de uma fonte confiável. Muitos frameworks vêm com esse recurso por padrão.
No entanto, você pode simplesmente usar JSON Web Tokens (jwt) com PHP para adicionar autorização às suas solicitações de API
Saiba mais sobre a autenticação baseada em token esta página .
Confira este tutorial simples sobre como proteger seus endpoints de API PHP com JWT.
Se você precisar de ainda mais segurança, convém adicionar o serviço de provedor OAuth à sua API. confira esta postagem sobre como escrever OAuth provedor em PHP