JSファイルで実行していること/アプリケーションをサービスとして公開したい

問合せフォーム入力に連動してAPIを叩いて入力を補助するサービスをある顧客向けに書きました。
これをサービス化したいと考えています。

特定顧客のみに制限するのは

通常
0. main.jsをURL公開し

1. 各ユーザー(顧客)にAPIキーというかコードを与えて
2. 例えばkey.jsを変数または同ディレクトリの別ファイルに置いてもらって
3. フォーム入力を検知してmain.jsにリクエストする際にそのコードをパラメータとして渡す設計にし、コードが有効かどうか判断

でいいのかなと思います。
ただ、ユーザーWebサイトのディレクトリ内にたくさんフォームを持っていたり、いろんなサーバーがある、変数などの設定ができなさそう等々を考えると、ドメインで制限できたらいいのかなと考えました。

調べたこと・考えたこと

document.referrなどでどこのURLから来た、など分かると思います。

が、src="http://・・・main.js"ファイルがどのURLからリクエストされているか、クライアントサイドの動きでも分かるには

jsをsrcで読込でなく、urlエンドポイントを作って
fetch + ヘッダー内のOrigin読込　+
Access-Control-Allow-Origin:$origin
をユーザードメインに設定する

ということであってますでしょうか？
インフラやセキュリティについて知識が乏しく、どなたかご教授いただければ幸いです。

よろしくお願いいたします。