scymaks,

Авторизация (грубо) есть обращение по предопределенному адресу на твоем сайте. Откуда пришел запрос можно узнать из заголовков HTTP запроса. Отсюда и пляши.

scymaks,

Пароли/ключи тоже можно узнать. Ну вот подставили тебе в заголовках что-то, что тебя удовлетворяет (типа "запрос пришел от VK"). Дальше что мешает тебе запустить процесс авторизации с проверками, есть ли такой пользователь ВКонтакте через соответствующий API? Почитай доку по АПИ ВК - там много чего есть.
Можно примерно так выкрутить:

Пролучаем у VK access_token:
https://api.vk.com/oauth/access_token?v=5.21&client_id=<app_id>&client_secret=<app_secret>&grant_type=client_credentials

Получаем в ответ:
{access_token: <access_token>, expires_in: 0}

Затем выполняем запрос secure.checkToken:
https://api.vk.com/method/secure.checkToken?v=5.21&token=<user_token>&ip=<user_ip>&client_secret=<app_secret>&access_token=<access_token>

Получаем в ответ:
{response: {success: 1, user_id: <user_id>, date: 1400088413, expire: 1402680413}}