se tem api publica, e tá no site, pra que precisa informar na request ? kkkk
se eles quiserem bloquear todo mundo é só invalidar a key. além do mais, eles podem ter outras chaves, essa é só a chave pública, então se vc usar essa chave vc tem certo acesso, se usar outras pode ter outo tipo de acesso etc. e por mais simples que seja, ter uma key já impede um bocado de gente com menos conhecimento de acessar. não muitas, mas com certeza algumas.