Se por algum motivo vc precisar muito ocultar alguma key, recomendo criar um endpoint que chame a API ao invés de vc chamar diretamente. Sua API deve retornar apenas a resposta.
Eu só precisei fazer isso uma vez a pedido da empresa porque outro sistema estava em teste, e não era bom expor a chave nesse caso.