Хранение REST API защищенного ключа на клиентской стороне Android

Лучше всего ставить "безопасный ключ" как часть кода Android и генерировать APK для распространения. Я делаю некоторые остальные вызовы внутри моего приложения, где "секретный ключ" для вызова внешних служб передается как часть заголовков HTTP. Это хорошая практика? Будет ли шанс запустить мой apk для, например, эмулятора и перехватить остальные вызовы, получив доступ к секретному ключу, который я передаю?