Se questo è veramente per Dropbox, non farlo. Dropbox ha un'API e OAuth. Utilizza il provider OAuth di Dropboxe per ottenere invece un token OAuth per l'utente e puoi memorizzarlo. Non prendere o memorizzare le credenziali dell'utente.
Se è per un servizio che non espone un fornitore di autorizzazioni e in effetti è necessario archiviare le credenziali per conto dell'utente, è necessario farlo con molta attenzione. Preferibilmente verranno archiviati in un servizio separato, con solo le sessioni autenticate che vengono presentate all'applicazione principale per ridurre la superficie di attacco. Le credenziali stesse devono essere archiviate in un formato crittografato e la chiave di crittografia deve essere archiviata nel modo più sicuro possibile, preferibilmente in un HSM.
Quando hai dati preziosi come le credenziali di autenticazione per i servizi di terze parti, il tuo dovere di diligenza nel proteggere queste risorse è molto, molto alto. La difesa in profondità sarà fondamentale, così come la limitazione dell'accesso, della registrazione e del monitoraggio e la modellazione dettagliata delle minacce per comprendere l'ambito della superficie di attacco.