Sobre isso, a resposta mais simples é utilizar um Reverse Proxy, então tem algumas opções:
- Você pode criar uma API em fastify, por exemplo, que irá receber requisições e redirecioná-las para o tMDB. No redirecionamento, você encaminha a sua chave de API;
- Você pode utilizar o nGINX para criar um Reverse Proxy que também irá redirecionar as requisições para o tMDB encaminhando a sua chave de API.
Para ambos os casos, você vai chamar, por exemplo, api.seudominio.com.br e as requisições apenas serão encaminhadas para o tMDB e retornadas. Dessa forma, você protege o acesso a sua chave.
No seu proxy você pode adicionar restrições CORS, rate-limit e outros impedimentos. Você não deve utilizar no front-end uma conexão direta com uma API que precise de uma chave secreta. Essa chave sempre será exposta, mesmo que seja uma chave da sua própria API. Um proxy de controle ajuda você a gerenciar melhor essa conexão e previnir abusos.
No caso do tMDB faz sentido, já que eles podem banir a sua conta por abuso. Assim você previne que alguém pegue a sua chave de API e faça o que quiser, além de poder controlar no proxy mais proteções de acesso, cachê e outras coisas.
Agora, lembre-se se um recurso deve ser restrito, você deve utilizar cookies, sessões e similares. Nunca use chaves de API no front.
A propósito, já fiz um proxy do tMDB com Fastify para os cursos que eu ministrava: https://github.com/caiquearaujo/tmdb-api-proxy-fastify.