Manik здесь от команды OpenTok.
Вы правы, ключ API будет доступен на стороне клиента (браузер, мобильное устройство и т. Д. c), как и ожидалось. Это не проблема, потому что вам нужна комбинация API Key & API Secret, чтобы иметь возможность создавать сеансы, генерировать токены и т. Д. c.
В целях безопасности не следует раскрывать комбинацию API Key и API Secret.