保护由客户端的最终用户调用的API的常见解决方法是使用身份验证和授权机制。以下是一个基于JWT（JSON Web Token）的示例代码，演示了如何实现这个解决方案：

1. 生成JWT令牌的后端代码：

import jwt

def generate_token(user_id):
    payload = {'user_id': user_id}
    secret_key = 'your_secret_key'  # 密钥用于签名和验证令牌
    algorithm = 'HS256'  # 使用的签名算法
    token = jwt.encode(payload, secret_key, algorithm=algorithm)
    return token

2. 在客户端调用API时，将JWT令牌附加到HTTP请求的头部：

import requests

def call_api(endpoint, token):
    headers = {'Authorization': 'Bearer ' + token}
    response = requests.get(endpoint, headers=headers)
    return response.json()

3. 在API的后端代码中验证JWT令牌：

from flask import request

def validate_token():
    token = request.headers.get('Authorization').split(' ')[1]
    secret_key = 'your_secret_key'
    algorithm = 'HS256'
    try:
        payload = jwt.decode(token, secret_key, algorithms=[algorithm])
        user_id = payload.get('user_id')
        # 执行进一步的验证和授权逻辑
        return user_id
    except jwt.ExpiredSignatureError:
        # 处理令牌过期错误
        return None
    except jwt.InvalidTokenError:
        # 处理无效令牌错误
        return None

4. 在API的端点函数中使用验证的用户ID执行进一步的逻辑：

from flask import Flask

app = Flask(__name__)

@app.route('/api/endpoint')
def protected_endpoint():
    user_id = validate_token()
    if user_id:
        # 执行受保护的逻辑
        return 'Success'
    else:
        # 处理未经授权的访问
        return 'Unauthorized', 401

通过使用JWT令牌和验证机制，可以保护由客户端的最终用户调用的API，并确保只有经过身份验证和授权的用户才能访问受保护的端点。