Headless CMS API 应该公开吗？

我最近一直在探索将内容/CMS 与前端分离，并一直怀疑我的想法是否正确。

Headless CMS 只读 API 端点应该公开吗？也就是说，可以在我的源代码中包含 API 密钥吗？

我知道您希望将读/写 API 密钥远离前端，但我读过的所有内容似乎都掩盖了这一点。在客户端代码中包含任何类型的 API 密钥对我来说似乎是错误的。

我觉得如果我在我的代码中包含公共 API 密钥，我基本上会让别人更容易、更方便地获取内容。我知道存在网络抓取，但至少门槛略有提高。

我知道通过 NextJS 或类似方法使用 SSR 可以消除在前端公开 API 密钥的需要，但我看到的大部分文档只是将其直接插入到客户端代码中。

很想听听大家对此的看法。