前提・実現したいこと

Vue.js + Django REST FrameworkでWEBアプリケーションの作成について学習しています。
Vue.jsで作成したフロントエンドアプリケーションをS3に配置し、DRFで作成したAPIはEC2に配置する想定です。

DRFでAPIを作成した経験はありますが、フロントエンド開発をするのは今回が初めてです。

解決方法をお聞きしたいこと

Vue.jsで作成したフロントエンドアプリケーションからAPIと通信する際、APIのシークレットキーが必要になります。

シークレットキーは当然、ユーザから見えないようにすべきかと思います。
ですが、Vueファイル内に直接記載すると検証ツールなどから確認できてしまいますよね。

そこで、質問させていただきたいことは以下の3点です。

• シークレットキー等、ユーザに参照されたくない値はenvファイルを使用するのがベストプラクティスなのでしょうか？

• envファイルを使用しても、Vueファイルで環境変数を読み込む以上は検証ツールから値を確認することができてしまうと思っています。ユーザから隠蔽することは可能なのでしょうか？

• あるいは、Vue.js(S3) + Django REST Framework(EC2)のみの構成では実現不可能なのでしょうか？その場合、学習に必要なキーワードをお聞かせ願えれば幸いです。

調査したこと

• netlifyで、envファイルを使用して環境変数を読み込んだ場合の動作確認。
  →検証ツールから読み込んだ環境変数を参照できることを確認しました。