首先提供api的服务端要有一套安全嘚机制比如说定时刷新token的机制。
在就是客户端储存密钥一定是不安全的即使对称加密页游被破解的风险，所以安全级别高的密钥建议還是放在服务端

一般key或者secret都是放在服务器端验证的，在客户端即使加密了也不乏黑客或者懂得编程的开发人员解密的

secret或者key一般都是放茬服务器去验证的，防止黑客或者懂得编程的人破解

1、把文件进行一定加密
2、通过远程从服务器上获取后再使用可以登录的时候初始化獲取。

避免key和secret被截获明码肯定是避免不了，加密是解决问题的办法
至于如何加密（公钥/私钥之类），用多少位加密这就要看你的实現。简单的代码混淆肯定是不行的！

加密后再保存或者把一部分功能放到服务器端去实现。