Ключ API используется только для доступа к публичным c данным. Например, вы можете использовать его для доступа к праздничным календарям Google Calendar publi c. При этом да, вы должны хранить свой ключ API в секрете и не делиться им, но Google знает, что это невозможно с такими языками на стороне клиента, как JavaScript, поэтому я никогда не слышал о том, чтобы кто-то испытывал проблемы с утечкой их ключа API, имея его в приложении JavaScript.
Это предупреждение в основном означает, что вы не должны помещать его в репозиторий с открытым исходным кодом GitHub, который любой может загрузить, а затем запустить. Вы должны проинструктировать людей, как создавать свои собственные.
При этом, если вы пытаетесь получить доступ к личным данным пользователя, вам следует использовать Oauth2 для аутентификации ваших пользователей, и вы можете заблокировать только свой домен из-за необходимость перенаправления URI. Поскольку вы говорите, что создали идентификатор клиента, я подозреваю, что вы уже сделали это. Apikey в коде javascript не требуется строго, если вы добавили идентификатор клиента для oauth2.