在我看来，你有两个选择:

The way I see it you have two options:

1. 您根本无法保护它，因为为了让某人获得密钥，他们需要从您的应用程序中提取它.在大多数情况下，即使有人要获得密钥，也很怀疑他们是否会将其用于任何恶意活动，因为他们只能获得自己的密钥.这是一种风险，您必须逐个项目地进行评估，并确定它是否是您可以容忍的.
2. 第二个选项是将其固定到特定的引荐来源网址，然后欺骗设备上的网络视图正在使用的引荐来源网址.有一些关于如何执行此操作的堆栈溢出示例.请参阅在嵌入式 UIWebView 中指定 HTTP 引用

无论哪种方式，仍有可能有人获取您的密钥并使用它代表您提出请求.他们可以通过欺骗引用者自己来做到这一点，即使您走那条路，因为它是客户端浏览器提供的标头.

Either way, it is still possible for someone to get your key and use it to make requests on your behalf. They could do it by spoofing the referrer themselves even if you go that route since it is a header provided by the client browser.