По-хорошему токен надо хранить где-то у себя на сервере и при этом делать авторизацию на стороне ВК, например генерить уникальный идентификатор в lua-скрипте, а затем юзер должен будет его ввести ВК для начала обмена сообщениями. На сервере надо хранить таблицу соответствия этого идентификатора и VK ID чтобы никто кроме юзера (ну или того кто узнает этот идентификатор, что маловероятно если он сам его не скажет) не мог писать себе через группу. Прятать его в скрипте - глупо, даже если все перелопатить и нереально обфусцировать запрос можно будет отловить через любой сниффер пакетов.