Actualmente tengo una aplicación backbone.js simple servida desde mi dominio (example.com), que se proporciona con un token de Oauth. Específicamente, paso el token de Oauth a través de mi plantilla de página en los argumentos de constructor de mi clase de javascript (modelo Backbone). La aplicación backbone.js (que se ejecuta en el navegador) utiliza el token de Oauth para hablar directamente con un servidor remoto (no es el mismo servidor desde el que se sirvió la página).
¿Es seguro proporcionar el código javascript al token de Oauth de esta manera?
La página completa se sirve a través de https, por lo que efectivamente no hay preocupación por los ataques MITM. El navegador también tiene una cookie con los usuarios sesgados en ella, así que no creo que sea muy diferente a proporcionar el javascript del navegador con el token de Oauth.
Si esto es terrible, ¿hay algún método alternativo que pueda emplearse? ¿Sería mejor almacenar el token de Oauth en una cookie? (las mismas implicaciones de seguridad que tener un sessionid almacenado en una cookie).