我想使用React和Snipcart创建一个在线商店。似乎这种方法的主要安全问题是存储我的Snipcart secret API密钥。我想知道存储此密钥的最安全方法。我刚刚发现在React中使用.env文件存储此密钥并不安全，因为它嵌入到构建中，任何人都可能查看此密钥。我想知道是否有人使用AWS Secrets Manager之类的东西存储API密钥？我一直在研究这种方法，并想知道我是否可以将我的密钥存储在Secrets Manager中，然后使用Lambda函数或其他东西调用它。如果我让我的React应用请求接收API密钥，那么使用开发工具中的网络选项卡的人可能会拦截此请求并查看我的API密钥吗？
我考虑的另一种方法是构建一个与snipcart单独通信的后端，我的React应用程序可以调用它，但我宁愿不这样做，因为这会增加相当多的成本。
这里有一个链接到basic installation的snipcart文档，似乎API密钥需要进入一个脚本标签-难道没有人看到这一点？
这是他们在文档中对authentication的引用。