Se sugirió a mi compañero de trabajo ya mí que protegiéramos con contraseña nuestra API además de requerir una clave API. Esto no parece estar haciendo nada más seguro, ya que si la amenaza obtuvo acceso a nuestra clave API, probablemente también obtuvieron acceso a la contraseña.
¿Es esta práctica estándar asegurar con una clave API y una contraseña? He buscado por todas partes pero no he visto nada que sugiera hacerlo.