当使用javascript编写应用程序并使用API密钥时，很容易导致API密钥泄露，因此需要采取措施来保护API密钥。以下是两种方法：

1.后端代理：使用后端代理可以隐藏API密钥并在服务器上执行API请求，以保护API密钥不被暴露。以下是一个Node.js服务器端的示例代码：

const express = require('express');
const request = require('request');
const app = express();

app.get('/api', function(req, res) {
  const options = {
    url: 'https://api.example.com',
    headers: { 'Authorization': 'Bearer ' + process.env.API_KEY }
  };
  request(options, function(error, response, body) {
    if (!error && response.statusCode == 200) {
      res.send(body);
    } else {
      res.status(500).send('Error');
    }
  });
});

app.listen(3000);

在这个例子中，API密钥存储在环境变量API_KEY中，并在请求中使用Bearer Authorization头部。

2.加密：使用加密方法可以帮助保护API密钥。以下是一个加密和解密API密钥的示例代码：

const crypto = require('crypto');
const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);

function encrypt(text) {
  let cipher = crypto.createCipheriv(algorithm, Buffer.from(key), iv);
  let encrypted = cipher.update(text);
  encrypted = Buffer.concat([encrypted, cipher.final()]);
  return { iv: iv.toString('hex'), encryptedData: encrypted.toString('hex') };
}

function decrypt(text) {
  let iv = Buffer.from(text.iv, 'hex');
  let encryptedText = Buffer.from(text.encryptedData, 'hex');
  let decipher = crypto.createDecipheriv(algorithm, Buffer.from(key), iv);
  let decrypted = decipher.update(encryptedText);
  decrypted = Buffer.concat([decrypted, decipher.final()]);
  return decrypted.toString();
}

const apiKey = 'my-api-key';
const encryptedApiKey = encrypt(apiKey);
console.log('Encrypted API key:', encryptedApiKey);
const decryptedApiKey = decrypt(encryptedApiKey);
console.log('Decrypted API key:', decryptedApiKey);

在这个例子中，使用aes-256-cbc算法对API密钥进行加密，并使用随机生成的IV（初始向量）来增加安全