API-ключи во фронтенде: ограничения, прокси и ротация

Любой ключ в bundle или mobile app извлекается; защита — ограничение по HTTP referrer/IP, квоты и минимальные scope permissions.

Платёжные и приватные операции всегда через backend с server-side secret.

- [Using API Keys — Google Cloud Documentation](https://cloud.google.com/docs/authentication/api-keys) — Ограничения и best practices.

- [OWASP API Security Top 10](https://owasp.org/www-project-api-security/) — Классы рисков API.

---

## Ротация

Держите два активных ключа при смене; мониторьте аномальные квоты.

Не коммитьте ключи — используйте env и secret scanning.