Se você distribuir uma chave de API no seu aplicativo, será trivial para um hacker extrair essa chave do binário do aplicativo ou do protocolo de rede.
A API de usuário é imune a esse problema: o usuário aprova o aplicativo e, em seguida, recebe uma chave de API dedicada gerada.