Не вставлять же мне просто в интерсептор

Стандартный вопрос, который тут звучит постоянно: от кого защищаемся? :)

Ну так ключ позволяет списывать монеты драгоценные с аккаунта. Если узнать токен и ключи, то этр потеря денег.

Тогда ответ очевиден - если токен позволяет списывать деньги - то его лучше подкладывать не во время комполяции. В идеале - вообще не хранить на телефоне :)

Но все апи не дают такого сделать

Очень многие апи выдают просто публичный ключ и говорят по нему запрос делать

Имхо защищать один лишь токен абсолютно бессмысленно, как минимум потому, что его можно получить, вообще не прикасаясь к устройству. Достаточно быть подключенным к одному WiFi, и можно будет просниффить весь трафик

Так как обойти тогда эту дырку?

вот так пишут

Какой это сервис?

накрутка в соц сетях

Использовать одноразовые токены/ссылки?

я выше скриншот кинул, как мне изменить апи чужое ?)

мне выдали ключ, сказали делать все запрос с ним. А как спрятать его теперь?

Навернуть поверх его своё :)

+

если я Base64 вставлю в хедер, это лишние просто 5 минут для реверсера?

Базе64 это не 5 минут а 30 секунд

Вы можете его как угодно прятать, но если этот ключ уйдет в публичное использование (например, внутри приложения), то любой мало-мальски опытный реверс-инженер вытащит его в любом случае. Для операций с деньгами, если я правильно помню, всегда используются одноразовые ссылки.

Этот ключ и токен должны лежать на вашем сервере. У вашего сервера должен быть API, который позволяет получить одноразовую ссылку, по которой ваш сервер выполнит запрос к стороннему API