Al momento ho un'applicazione backbone.js semplice fornita dal mio dominio (esempio.com), a cui viene fornito un token Oauth. Nello specifico, passo il token Oauth attraverso il mio modello di pagina negli argomenti del costruttore della mia classe javascript (modello Backbone). L'applicazione backbone.js (in esecuzione nel browser) utilizza quindi il token Oauth per comunicare direttamente con un server remoto (non lo stesso server da cui è stata fornita la pagina).
È sicuro fornire al codice JavaScript il token Oauth come questo?
L'intera pagina viene pubblicata tramite https, quindi non vi è alcuna preoccupazione per gli attacchi MITM. Il browser ha anche un cookie con gli utenti sessionid al suo interno, quindi non penso che sia molto diverso dal fornire il browser javascript con il token Oauth.
Se questo è terribile, ci sono metodi alternativi che potrebbero essere impiegati? Memorizzare il token Oauth in un cookie sarebbe meglio? (stesse implicazioni di sicurezza di avere un sessionid memorizzato in un cookie).