buenas, con respecto a tu pregunta, creo que es irrelevante para el problema si usas un subdominio o simplemente una subaplicación (www.miweb.com/ws), lo importante para evitar que el WS sea consumido por terceros (agenos a tu aplicación), es que tienes que ingeniarte algún sistema de identificación de consultas, ya sea por una login o un token. Para el caso de un webservice, me parece más adecuado el uso de un token, ahí verás tu que te acomoda más.

Con respecto a que libro te recomendaría, yo creo que lo mejor y más completo que he encontrado es: https://commonsware.com/.

Saludos