Наверное такой вариант решения проблемы уже прозвучал тут, но я все же повторюсь, самое безопасное решения по защите токена в этом случаем писать сервер на который ты просто будешь отправлять потом запросы со скрипта о тех или иных действиях с API VK, токен будет храниться на сервере...