GoogleカレンダーのAPIキーを安全に保管・使用する方法

前提・実現したいこと

PHPでGoogleカレンダーAPIを利用したアプリを作っています。
その際に使用する、APIキーを安全に保管、及び使用する方法を探しています。

発生している問題・エラーメッセージ

Google Calendar API PHP Quickstart sample
リンク

はじめに作成するGoogleクライアントサービスには、プライベートキーの含まれるJSONファイルの「ファイルパス」を渡さなければなりません。
しかしながら、JSONファイルを生の状態で任意の場所に保存しておくだけでは、そのURLを知られたら中身を簡単に見られてしまいます。
クライアントサービスにはきちんとJSONファイルのファイルパスを渡しつつ、JSONファイル自体は安全に保管する方法はあるのでしょうか？

該当のソースコード

php
1$client->setAuthConfig('credentials.json');

試したこと

JSONファイルのファイルパスの代わりに、PHPのソースコード上で作成したJSONファイルそのものを渡してみましたが、エラーになりダメでした。

補足情報（FW/ツールのバージョンなど）