Есть две сущности. Один секрет, а другой ключ.
Ключ необходимо передать в скрипте для создания платежной формы razorpay. В этом нет проблемы.
Для того, чтобы все транзакции для razorpay, которые требуют секретности, вы должны сделать свои собственные API на вашем сервере. Никогда не помещайте это в клиентский JavaScript.
Например, при создании заказа вам нужно будет передать секрет. Итак, создайте API, где вы можете передать ссылочный номер из вашей системы и получить order_id от razorpay. Выполните все операции, чтобы razorpay на стороне сервера кода. Таким образом, секрет не будет открыт конечному пользователю.