Как сохранить ключи API в секрете при использовании Javascript на стороне клиента?

Например, посмотрите этот плагин Facebook .

На стороне клиента ключ API четко виден.Что мешает другому пользователю получить этот ключ и использовать эту функцию на другом сайте?

Я подумал, что очень наивной реализацией будет проверка домена, из которого исходит запрос, но подобные вещи легко подделать.

Если бы мне пришлось создать что-то подобное, как бы я обеспечил безопасность процесса аутентификации?

Я хочу, чтобы как можно больше этой работы выполнялась на стороне клиента, хотя определенно потребуется какая-то форма аутентификации сервера? Будем признательны за любые ссылки или советы.

Обновление

Аналогичный вопрос о ключах API, которые я нашел полезными.