Wenn Sie einen API-Schlüssel in Ihrer Anwendung ausliefern, ist es für einen Hacker trivial, diesen Schlüssel aus dem Anwendungs-Binary oder dem Wire-Protokoll zu extrahieren.
Die User-API ist gegen dieses Problem immun: Der Benutzer genehmigt die Anwendung und erhält daraufhin einen dedizierten API-Schlüssel generiert.