MLans,

А чем не подходят обычные методы аутентификации на сайтах?
Выбирайте любой - от аутентификации средствами Http протокола, до Form-аутентификации или Federation-аутентификации

MLansа если кто-то заведет аккаунт на моем сайте и просто будет использовать эти креденшелы для вызова сервиса?
Что-то я не понимаю, если честно.

Давайте по порядку - что это за сервис, который вы хотите защищать? Я поначалу решил, что это ваш сервис, который является часть вашего сайта, т.е. у вас SPA сайт, который к своему бэкенду обращается через этот сервис.

Как построена авторизация на вашем сайте и какова она на сервисе на текущий момент?