Никакой защиты не надо, нужен бекэнд с обработкой запросов (API) и чтобы он возвращал ответ на фронт. Вот и все, выдаешь ключи/логин;пароль определенным лицам, и кряк твоего скрипта будет невозможен. Только если ты не напортачишь с безопасностью на беке.

Никакая клиентская защита не даёт 100% гарантии против мотивированного реверсера.

я думаю про hwid, логирование и rate‑limit обьяснять не стоит - сам поймешь