так ведь смысл в том, чтобы функция по определённому маршруту обрабатывала запросы только от этого клиента, и больше ни от кого.

Фронт контролирую не я, там могу вставить только JS-код.

Тогда выдай ему токен руками и всё. Само собой это не защитит от человека посередине, это защищают на другом уровне.

а как от mitm - защититься?

SSL/TLS разве тут не спасёт?

Именно он и спасёт.

Ну вот допустим, что я выдал клиенту токен. Вставляю на его фронте следующий JS-код

$.ajax({
  url: '<some_url>',
  type: 'GET',
  contentType: 'application/json'
  headers: {
     'Authorization': 'Bearer <token>'
  },
  success: function (result) {
      // CallBack(result);
  },
  error: function (error) {

  }
});

но тут же опять в явном виде токен прописывается! Кто угодно может этот токен взять к себе в херед и также слать запросы на сервер

О ужас.

?

Так ты не хардкодь токены, а делай как все люди.

Проси у юзера логин и пароль. Шли их на сервер. И получай в ответ токен.

а как это сделать? Всмысле, как со стороны сервера запросить логин/пароль в ответ на запрос, а потом ему выдать токен, чтобы не хардкодить?

Никак. Сервер при запросе токен проверяет, и если его нет или он не валидный то отдает 403 статус код.
Клиент должен уметь это делать, например при логине сохранять токен в локал сторадж.

не очень понимаю что-то ...

Клиенту просто вставляется JS-код на сайт. Всё.

Тогда никак.

Всё.

Лол.

google analytics например так работает.

А как тогда от возможного DDOS защититься?)

Какая задача такое и решение.

Никак.