↑と同意見で、結局クライアントが持っているトークンは基本的に解析者にも使われる (難易度の差はあれど) ので、例えば・ChatGPT の API をアプリで呼びたいのであれば、OpenAIのAPIへの中継サーバーを自前で用意しレートリミット等をきちんと用意する・S3 にアップロードしたいのであれば、一回自前で用意した中継サーバーにアップロードさせてサーバーから S3 にアップロードする、あるいはアップロード用の署名URLをサーバーで発行してそれをアプリに渡すなど、アプリが信頼できない前提での設計をする必要があります (edited)