Любой ключ в bundle или mobile app извлекается; защита — ограничение по HTTP referrer/IP, квоты и минимальные scope permissions.
Платёжные и приватные операции всегда через backend с server-side secret.
- [Using API Keys — Google Cloud Documentation](https://cloud.google.com/docs/authentication/api-keys) — Ограничения и best practices.
- [OWASP API Security Top 10](https://owasp.org/www-project-api-security/) — Классы рисков API.
---
## Ротация
Держите два активных ключа при смене; мониторьте аномальные квоты.
Не коммитьте ключи — используйте env и secret scanning.