Bloquear acesso direto ao PHP

Recentemente criei um serviço que verifica horários de ônibus. O Ajax requisita o próximo horário, e o PHP responde, porém a string de requisição ao PHP  fica escancarada no JS, tornando extremamente fácil a utilização do serviço sem minha autorização. Gostaria de saber se existe alguma forma de enviar, ou solicitar uma chave no PHP, antes de executar o script propriamente dito, já imaginei utiliza cookies, porém o JS teria de seta-lo antes do PHP realizar a leitura, tornando a "proteção" inútil.