versperren will ich den Zugang nicht, ich will nur sicherstellen, dass über alle externen User-Chat Eingänge immer der passende private "Raum" vom Server geliefert wird.

Für diesen rein technischen Aspekt ist die URL prädestiniert.

Ich sehe momentan auch den Schaden nicht, der angerichtet werden könnte.

rein "Paranoia-hypotetisch" wäre es denkbar, dass jemand einen fremden User-Chat klaut, und ihn für eigene zB. sittenwidrige Zwecke nutzt. Für solche Fälle würde ich gern in der Lage sein, den geklauten Chat zu sperren, aber den chat der beklauten Users weiter bestehen zu lassen. Das ging mit den Referrer-Daten gut. Und deshalb hoffe ich dass es eine bessere Lösung als die Chat-Identifikation per IDs gibt.

Nein, Dir bleibt nur, die Referrer-Angaben wie von mir vorgeschlagen zu prüfen: echte URLs wie bisher kontrollieren, alles andere durchlassen. Dies bietet Dir zumindest ein wenig Sicherheit vor Script-Kiddies. Und bei derartig mißbrauchten Chats solltest Du wahrscheinlich sowieso den Zugang (lies: die URL) ändern.

Es mag keine wirkliche Beruhigung sein, aber:
1. Die wirklich bösen Buben amüsieren sich sowieso woanders.

2. Bleibst Du nur Anbieter der _technischen_ Plattform, bist Du nicht unbedingt für die Inhalte verantwortlich. Dein Webhoster wäre ja beispielsweise auch nicht für die Kinderpornos verantwortlich, würdest Du solche auf Deinem Webspace vertreiben.
Verantwortlich wird man erst zu dem Zeitpunkt, an dem man von dem Treiben Kenntniss erlangt. Siehe Teledienstegesetz, § 8(2) und §§ 9 bis 11 (http://www.netlaw.de/gesetze/tdg.htm). So möglich, solltest Du also darauf achten, Dich strikt im Hintergrund zu halten und die Verantwortung den Homepagebetreibern zu überlassen. Das sind eh diejenigen, die den größten Nutzen von Deinem Angebot haben.