Совместное использование одностраничного приложения для нескольких клиентов

Я ищу информацию для реализации следующей архитектуры:

• Одностраничное приложение, размещенное на AWS S3 + Cloudfront, домен - example.com
• Единый API, доступ к которому осуществляется одностраничным приложением - домен api.example.com
• У каждой компании есть выделенный поддомен DNS, указывающий на распределение Cloudfront. Например, компания A имеет выделенный поддомен companyA.example.com (реализован с использованием записи CNAME)
• Когда клиент компании A получает доступ к домену companyA.example.com, его браузер связывается с API, который ДОЛЖЕН знать, что клиент пришел с этого субдомена, поэтому он связывает клиента с компанией A (помните, что существует только один API)
• Конечно, все коммуникации HTTPS

Следующие пункты имеют решающее значение:

• API ДОЛЖЕН иметь надежный способ узнать поддомен, "с которого" был отправлен запрос - это Origin заголовок надежный?
• Клиенты компании A не могут быть вынуждены получить доступ к поддомену другой компании (кража клиентов) - я думаю, это больше вопрос защиты DNS

После раскрытия всей этой информации, я думаю, что могу возобновить свой вопрос как:

Как API может "точно" знать поддомен, с которого пришел клиент?