Я всегда советую иметь один apikey для каждого клиента. Это означает, что один ключ для каждого API. Таким образом, вы сможете легче диагностировать, какое приложение / служба отправляет запросы. Кроме того, вы ставите себя в положение, при котором поворот ключа влияет только на одного клиента. Кроме того, вы можете широко использовать планы использования для регулирования количества клиентов по одному, чтобы они не влияли на других клиентов, использующих тот же шлюз API.
С точки зрения гибкости, вы, как владелец шлюза API, должны защищать свой API-интерфейс, чтобы каждый клиент мог использовать его разумным образом до предопределенных пределов. Следовательно, единый ключ для каждого клиента - абсолютно верный путь.