Неважно, где вы будете сохранять токены во внешнем интерфейсе, потому что даже в случае, когда вы будете обменивать их на серверный - вам нужно будет отправить их с запросом.(все данные, которые размещаются на внешнем интерфейсе, не защищены)
Таким образом, каждый будет иметь доступ к ним на вкладке сети инспектора.
Когда возникает вопрос о безопасности, первое правило:
- Исследуйте возможность реализовать это на внутреннем сервере с помощью переменных среды.
PS: я только что открыл Авторизация вашего приложения с помощью Gmail и тамВот что говорит:
Начало работы: Чтобы начать, см. Реализация авторизации на стороне сервера .
Таким образом, вам нужно обработать все действия авторизации на сервере, гдевсе жетоны будут защищены.