Después del proceso de envío de Twitter, una vez que finalmente obtenga mi access_token_key y access_token_secret, ¿es seguro almacenarlos en un lado del cliente con variable de javascript?
En la medida de lo posible, no se puede hacer nada con estas claves sin la clave_de_comunitario / consumidor_secret.
Básicamente, para evitar almacenar cualquier cosa en la sesión si necesito hacer otra llamada a la API.
Al igual que con todas las consideraciones de seguridad, es útil tener claro quién está defendiendo y contra quién está defendiendo. Sus clientes están bastante seguros en este entorno, aunque quizás puedan molestar un poco con usted. Alguien podría escribir otro cliente de Twitter y ese cliente podría pretender ser su cliente. Si se comporta mal y Twitter lo prohíbe, se le podría prohibir como garantía. Esto supone que las llamadas a la API de Twitter se hacen del lado del cliente, por lo que el cliente necesita tener suficiente información para actuar en su nombre (desde la perspectiva de Twitters). Si realiza todas las llamadas a la API del lado del servidor y no comparte sus códigos de acceso, nadie podrá modificar su cliente o hacerse pasar por él.
Si te hace sentir mejor, la mayoría de los clientes de Twitter tienen este problema ...
Lea otras preguntas en las etiquetas oauth