Как создать правильное api на php?

В целом api нужно для андроид приложения! Есть простое готовое решение api регистрации и авторизации https://github.com/Mr-viv1gupta/PHP-MySQL-User-Login-SignUp-API/tree/master/api

В этом решении нет работы с сессиями и не прописаны хедеры. Вопрос в том, в каком направлении двигаться для защиты api. К примеру если по этому примеру продолжать разрабатывать api и создать пополнение счета за какие-то действия в приложении то защиты на стороне сервера по факту не будет. Так как у api нет ни сессий и авторизация без ключа. По факту если 3 сторона захочет пополнить счёт и отправит пост запрос с какими то данными по указанному урлу у неё это получается без каких либо проблем.