никогда не понимал призывы хранить api_key в секрете, это как такое возможно, если учесть, что некторые сервисы требуют размещения этого api_key в том же header'e?

monolithed, а какой тогда смысл вообще в этом api_key? Я не вижу в нём смысла кроме как в роли ключа авторизации.

в том же facebook, есть api_key, и он хранится в открытов виде, хотя они предепреждают держать его в секрете. Поэтому смыла в этом api_key нет никакого, кроме открытой авторизации