現在、Webサイトを制作しています。

JavaScriptでとあるAPIを用いた処理を考えています。
このAPIはドメインのよってアクセスを制限する等の機能がないようです。
このため、単純にJavaScriptのソース上にAPIキーを載せると、
APIキーが丸見えになって良くないのでは、と思います。

そこで、別にAPIキー等を記述したJSONファイルkey.jsonを用意して、

key.json
1{
2		"url":"https:hoge.com",
3		"token":"API-KEY"
4}

これをAPI処理を書いたソース上で、

main.js
1var url = "";
2var token ="";
3
4$.getJSON("key.json", function(json){
5url = json.url;
6});
7
8$.getJSON("key.json", function(json){
9token = json.token;
10});

というように読み込む形にし、key.jsonはApacheにてmain.jsからのみアクセスを許可する、という設定にすれば、APIキーはセキュアに守られますか？

（ここまで書いてて思ったのですが、main.jsにてurl,token 変数に代入した時点で丸見えで意味がないのでは…と思いました）