То, что находится на стороне клиента - принадлежит пользователю. Сюда относятся токены, идентификаторы, имена, фамилии, e-mail, и т. д. Всё это пользовательские данные.
Тут действует главное правило. Пользователь видит только то, что Вы ему прислали сами! Если не хотите чтобы он что-то видел, просто не отправляйте ему это. Ни в JS файлах, ни в HTML коде, нигде. Просто не отправляйте и тогда пользователь этого не увидит.
Вы правы, не все данные принадлежат пользователю. Например, пароли от базы данных, токены которые не связаны с пользователем и т. д. Такие данные хранятся на backend, и не передаются пользователю на клиент.
В Вашем примере Вы сами прислали пользователю секретный токен, а потом попытались подставить его в POST запрос:
$.post("test.php", { token: "my_token" } );
Храните токен на backend.
Если нужно выполнить какой-либо запрос на сторонный API, то это также можно сделать со стороны backend (в вашем примере из test.php). Backend тоже умеет отправлять POST запросы. Конечно не при помощи jQuery, а при помощи своих инструментов. Вот ими и нужно пользоваться, если речь идёт о необходимости выполнения запросов с секретным токеном.
