Этот ответ неверен. Любой пользователь может сгенерировать пользовательский API-ключ, если генерация таких ключей включена для уровня доверия пользователя. Если вы не укажете перенаправление в теле запроса, в браузере будет отображён ответ в кодировке base64, содержащий ключ.
Смотрите эту тему для получения скрипта, демонстрирующего, как это делается.