Какие платные токены нужно скрывать в неавторизованной зоне?

При соблюдении условий сервиса геокодер в связке с картой JS API можно использовать бесплатно. При этом API-ключи можно привязывать как к домену, так и IP-адресу сервера в настройках кабинета разработчика для минимизации возможности использования ключа посторонними. Мы не предоставляем механизмов их дополнительного сокрытия, но и не запрещаем это делать разработчикам.

И, как правильно отметили в комментариях, использовать чужие ключи запрещено. Каждый получает для своих нужд ключи в кабинете разработчика самостоятельно.

Для апи карт версии 3 ключ обязательно должен быть привязан к домену, соответственно, с другого домена его использовать невозможно. Для более ранних версий привязка была необязательна.

Карты используются в браузере на фронтэнде, а значит ключ к ним тоже должен использоваться на фронтенде, поэтому скрыть его невозможно.

За счёт привязки ключа к домену если кто-то попытается встроить карту с ним на свой сайт, то помимо ключа будет проверено, с какого сайта отправлен запрос, и если сайт не совпадёт со списком разрешённых, то ничего не заработает - как при неверном ключе. Поэтому стащить ключ на другой сайт не получится.

Теоретически можно тащить в десктопное приложение, которое сможет подделать заголовки, но, вероятно, эта схема не имеет смысла, поскольку крупные разработчики не будут рисковать, включая в код приложения ворованный ключ (очевидное нарушение), а у мелких вряд ли кто-то будет активно пользоваться и создавать достаточно использований, чтобы кого-то это волновало. Да и вообще, я не знаю десктопных приложений, в которых была бы карта. А мобильные приложения типа доставки с картой имеют карту и на сайте, так что у них вполне есть свой ключ (и опять же они не рискнут зашивать ворованный в код приложения).