K值验证的一些问题

最近一个项目，在对接外部API，遇到一个 K值验证的机制，应用场景是一个视频播放场景：

服务端验证用户权限后，发放用户一个TOKEN，然后用户侧请求第三方API，附上这个TOKEN，第三方服务端再向我方服务器验证这个TOKEN，正确就放行

但是如何保证这个TOKEN的安全，目前的做法是用户每刷新播放页面，会生成一个一次性的TOKEN，第三方验证后失效，这样就能最大限度确保用户的确是有权限访问的，但也存在一个漏洞：
如果用户拦截 请求第三方API 的请求，把这个TOKEN提取出来，分发到其他的客户端去，那就绕过了限制
基本多家视频供应商的验证方式都是这样的，大家有没有什么好的想法？
实际情景举例：
用户购买了一个课程，在浏览器中打开了课程播放页面，这个页面是加载了一个视频供应商提供的js，然后通过js来加载对应的视频，同时要在js的url上附上参数token给视频供应商进行鉴权，这里的token用户可以通过浏览器查看源代码的方式直接获取，然后分发到其他用户，从而绕过限制