Совместное использование одностраничного приложения для нескольких клиентов

Мне нужна информация для реализации следующей архитектуры:

• Одностраничное приложение, размещенное на AWS S3 + Cloudfront distribution - домен example.com
• Единый API, к которому обращается одностраничное приложение - домен api.example.com
• У каждой компании есть выделенный поддомен DNS, указывающий на распределение Cloudfront. Например, у компании A есть выделенный субдомен companyA.example.com (реализовано с использованием записи CNAME)
• Когда клиент компании A получает доступ к домену companyA.example.com, его браузер взаимодействует с API, который ДОЛЖЕН знать, что клиент пришел с этого поддомена, поэтому связывает клиента с компанией A (помните, что существует только один API)
• Конечно, все коммуникации HTTPS

Следующие моменты являются критическими:

• API ДОЛЖЕН иметь надежный способ узнать поддомен "из", с которого был отправлен запрос - это Origin заголовок надежный?
• Клиентов компании A нельзя заставить получить доступ к субдомену другой компании (кража клиентов) - я думаю, это больше вопрос защиты DNS

После раскрытия всей этой информации я думаю, что могу возобновить свой вопрос следующим образом:

Как API может «точно» узнать, из какого субдомена «пришел» клиент?