重定向到某个网址而不显示该网址

您不能通过重定向请求来执行此操作，因为重定向会告诉客户端从何处获取文件。

最好的解决方案是在用户无法直接访问的服务器上使用代理应用程序。然后，此代理软件将从其原始源加载.mp3并将数据转发到您的客户。您要保护的 API 密钥永远不会离开服务器。但是，您需要通过某些方式控制对代理的访问。

如果您指的是客户端应用程序：始终有可能从应用程序中获取 URL。这取决于您的威胁模型。您保护 API 密钥免受谁的保护？如果您考虑了高技能的攻击者，他们很可能能够从您的应用程序中提取密钥。

无论如何，在传输凭据时使用加密连接是个好主意。如果您正在使用https://并检查证书，则至少可以防止嗅探网络流量。

实际上，没有办法阻止嗅探您的实际代码。在您自己的网站上开发代理 URL 将阻止他们访问您的 API 密钥，但您可能需要很大的带宽。

如果你在MVC或Web API中使用路由，你可以避免这种重定向