1. Вопрос понятен частично. У вас есть плагин, который обращается к вашему серверу. Плагин имеет ключ от сервера, чтобы успешно с ним общаться.
2. Зачем прятать ключ, ведь API строится на том, что у клиента есть ключ для успешного общения с сервером. Если ключ отсутствует, то сервер должен выдать новый. Как выдавать, это уже ваше решение.
3. Что нужно сделать на back-end, так же не понятно.
Если бы вы правильно поставили вопрос или четче рассказали о вашей проблеме, возможно тут смогли бы успешней вам помочь.