JS to nakładka na calle restowe, które odpalasz z przeglądarki klienta, więc nie da się tego zabezpieczyć. Czy utworzyć jakiś klucz, czy będziesz wymagał jakiegoś hasła - user i tak widzi co wysyła do serwera więc może sobie tak samo strzelać z Postmana czy z czegokolwiek innego. Jak nie chcesz żeby ktoś Ci nie strzelał do API to nie wystawiaj API i zrób zwykłą apkę plującą htmlem.
Security możesz użyć jeśli user, który strzela do API musi mieć jakieś uprawienienia np. odczytu, musi być potwierdzony jakoś przez Twoją apkę ale wtedy i tak wysyłasz jakiś token, wiec tak samo mogę to zrobić postmanem.