Https网站调用REST API - 如何保护？

Question

背景调查： 我通读了几个博客，但无法找到关于这个问题的具体内容。

以下是架构：

1. HTTPS网站（无需登录）具有常用的LIKE按钮。
2. 点击后，用户输入电子邮件地址并解决CAPTCHA并单击“保存”按钮。
3. 使用数据进行休息调用，DB存储值。

问题： 现在，如果有人试图从POSTMAN中调用Rest，则无法验证呼叫是来自Https网站还是来自其他地方。

问题： 有没有办法确保Rest能够理解呼叫是否来自https站点才能进一步处理请求？