usa_pyonさん、こんばんは!
一つの方法にはなりますが、
アクセストークンを保存する用のkintoneアプリを作成して、
そちらに保存し、取得をかけに行く方法はいかがでしょうか?
もちろん、そのアプリは、ユーザーには閲覧権限を与えず、
kintone.plugin.app.proxy()で、APIトークンを用いて、
アクセストークンの取得・更新を行い、
kintoneのAPIトークン自体も、プラグイン側にセキュアに持たせる必要はあります。
別途サーバーを立てない、kintoneでのセキュアなコーディングについては、
(かつ、できるだけ開発コストも抑えて)
私としても、とても気になるトピックですので、
他の方のやり方も聞いてみたいですね。