Есть скрипт который, имеет доступ к магазинам по средством ключа токена. Таких магазинов несколько. Где лучше хранить этот токен с точки зрения безопасности, в БД или создать отдельно конфиг, а в БД хранить только ID ключа из конфига?
Конечно в конфиге. А конфиг хранить в зашифрованном виде на отдельном сервере с ограниченным доступом по IP. Получать конфиг по API с временным токеном.
