Либо жестко закодируйте его, либо сохраните в зашифрованном файле БД или XML, как в случае с секретным ключом и идентификатором ключа, лучше не жестко кодировать свои собственные ключи, возможно, как указано выше, хранить их в зашифрованном файле где-то в вашем приложении и как только вы получите пользовательские ключи, успешно удалите файл, содержащий ваши собственные ключи, или замените ваши ключи новыми учетными данными пользователя, так как вам не понадобятся ваши ключи после того, как клиент успешно активировал ваш продукт.
уверен, что всегда лучше скрывать ProductToken от пользователя, а не просить пользователя вводить его вручную, потому что, как только ваш токен Product пойдет, публичные люди могут легко получить доступ к вашим корзинам и делать любые изменения, которые им нравятся, и вы, вероятно, потеряете контроль над ваш поток данных.