シークレットキーが、外部から見えるところに保存されていないことを確認します。
ClientからJavaScriptなどでAPIをコールすることも技術的には可能です。
しかし、シークレットキーをClientに持たせることになるため、大変危険な状態になります。
絶対に、Clientにシークレットキーを置いてはいけません。
シークレットキーが外部に漏れると、悪意の第三者が貴社に成りすまして、あらゆる操作を自由に行えるようになってしまします。
このような構造不備により、万一、お客様に何らかの不利益が生じた場合は貴社の責任になってしまうことをご認識ください。