KintoneのJavaScriptから外部APIを叩かせるためにログイン処理をセキュアにやりたい

お世話になっております。

私は現在Kintoneによる業務効率化アプリを作成しており、こちらをユーザーに展開しようとしております。

その際、社内の基幹システムのAPIから情報を取得したく、API上でID/パスワードを利用してログインし、発行されたトークンで社内のAPIを叩けることまで確認しました。

やり方についてお聞きしたいのですが、現状JavaScript上に直接IDとパスワードを書き込んでいるという状況です。これについて、

(1)Kintoneのアプリで環境変数などを保存できる場所はあるのでしょうか？（なさそうに見えますが・・・）

(2)そもそもJavaScript上、Kintone上ででログイン・パスワードを使うというのはセキュリティ上よくないのでしょうか？

上記について調べても情報がなく、教えていただけると助かります。よろしくお願いいたします。

パッと思いついたアイデアなんですが、

kintoneプラグインにしてしまってプラグインの設定の中でID/パスワードを保存してしまうのはどうでしょうか？

ありがとうございます。確かにプラグインにしてしまえば、コードというテキストにID/パスワードが載ってしまうということは解決できそうですね。

セキュリティについて不勉強なのですが、JavaScriptで通信した内容はユーザー側から取得できるのではないのでしょうか？

このトピックはベストアンサーに選ばれた返信から 3 日が経過したので自動的にクローズされました。新たに返信することはできません。