サービス専用WebAPIのURI・APIキーをスマホアプリに格納するベストプラクティスを教えてください

スマホアプリがそのサービス専用のWebAPIを利用する場合、
スマホアプリのソースコードにエンドポイントURIやAPIキーを直接保持する以外にベターな方法はあるのでしょうか？

諸々調べてみると、逆コンパイルやプロクシサーバー経由通信など、
何らかの方法で隠蔽したとしても、やろうと思えばわかってしまうようなので、
結局上記の方法でよいのかな、と傾いています。
（リモートリポジトリの利用を避け、更にエンドポイントがばれること前提で、パスワードクラック対策などをソフトウェア側で行うという方向性）

もし、マシな方法（バレる可能性を下げる方法）やベストプラクティスといったようなものがあればご教示いただければ幸いです。
Android、iOSのどちらのケースでも大丈夫です。※できれば両方知りたいです。