Безопасность .env в React

У меня есть .env файл который содержит конфиденциальные ключи. И возникло несколько вопросов на которые я не смог найти однозначного овета

1. Правильно ли понимаю, что в готовой сборке (CRA) эти переменные окажуться в самом файле js? ( после npm run build )
2. Если да, то могут ли злоумышленники достать эти перменные?
3. Как тогда использовать конфиденциальные данные в продакш сборке на клиенте(ключи гугл и все такое)?

Для примера взьмем ситуацию, что мы сохраняем пришедший с сервера на клиент JWT токен в локальное хранилище, но перед этим этим кодируем его с помощью секретного слова которое лежит в env, а когда достаём раскодируем все с помощью того же слова.

Так вот как мне это секретное слово сберечь от чужих глаз? Можно ли как то сделать что бы сборка все так же брала данные из окружения сервера? Или еще какие то способы?