При регистрации приложения Android в консоли API для доступа к API Google вы должны ввести свой сертификат отпечатка сертификата SHA1 и имя пакета приложения.
Теперь мне было интересно, как Google может проверить, что эти значения верны, когда вызовы api - это просто простые HTTP-запросы (в простейшем случае, когда вы не используете свой клиент API, который мог бы добавить некоторые значения заголовков)? Вы должны предоставить свой ключ API при вызове API, но это не доказывает правильность введенных значений.