Essa resposta está incorreta. Qualquer usuário pode gerar uma chave de API de usuário se a geração de chaves de API de usuário estiver habilitada para o nível de confiança do usuário. Se você não definir um redirecionamento na carga útil da solicitação, ele exibirá uma resposta codificada em base64 no navegador que contém a chave.
Veja este tópico para um script que mostra como isso é feito.