Где лучше хранить токен для запроса на сторонний ресурс?

Смотря в чем заключается безопасность (хотя тут скорее всего конфиденциальность), а также какие технологии используются в проекте.
Это может быть как файл, так и запись в базе данных. А там уже как доступы настроите.
Очень мало вводных данных, чтобы сформировать грамотный полноценный ответ.

mahmudchon, А какие есть варианты? Без хранения в БД.

Tdvist, просто записать в файл, например, любой текстовый. А вот уже касаемо настройки доступа к нему - надо отталкиваться от сервера и тп.

Tdvist, есть jwt, но как вам уже ответили безопасного способа хранения на фронте токена нет.

calculator212, да это понятно, вводных данных мало было, мб человек просто работает узко на каком то проекте, где есть серверная часть, но он ее не касается и лишь фронтом занимается. Тогда можно было бы совсем другое решение дать.
Ведь изначально речь шла про запросы, для которых этот токен нужен. Это уже обсудили ниже.

calculator212, да я понимал, что скорее всего нет) Стояла задача реализовать добавление задачи(с кастомными полями и вложениями) по возможности без участия бэка. Я проверил, что возможность есть. Добавил источники для CORS запросов на youtrack, сформировал сам запрос, связал его со своим сервисом. И встал вопрос хранения токена для запросов на youtrack. Я понимаю, что идея плохая и надо просить, чтобы сделали руту для реализации данной задачи с бэка, но МАЛО ЛИ я чего-то не знаю)

учитывая, что сам youtrack позволяет это делать.