Как проверить, используется ли ключ API его владельцем?

Я хочу создать очень простой API для своего сайта, я генерирую ключ API через sha1 (PHP):

sha1(microtime(true).mt_rand(10000,90000));

Владелец отправляет запрос через URL с этим ключом и одним конкретным значением. Как я могу убедиться, что этот ключ используется им, а не кем-либо еще? Кстати, это безопасно отправлять запрос через URL с фактическим API-ключом? это не может быть утечка или что-то?