我正在开发一个Javascript小部件，将嵌入在客户端网站使用Iframe。
小部件代码使用一个API密钥对我的后端服务进行API调用。每个不同客户端的API密钥都会改变。
目前，API密钥在iframe src标签中可见，这意味着任何人都可以很容易地在页面源代码中找到API密钥，未经授权的用户也可以调用API。
在这种情况下，保护API访问的最佳方法是什么？我曾考虑使用客户端密钥来加密API密钥，但这并不能解决问题，因为截获密钥的任何人仍然能够通过验证并在API后端进行调用。
网上已经有一些关于这方面的问题，但没有一个详细的建议如何去实施。
我的小部件是由React.js应用程序生成的HTML，API后端是Ruby on Rails。