Друг мой он не скрыт=) Js не скроешь=) А пых ты сам гитхабе выложил.

Ну во первых ты сейвиш в куку секретку.  Т.е переходим на http://www.funnymay.com/jbot21/jbot_wex.html. Запускаем скрипт, на обработчике сохранения данных ты устанавливаешь куку wex_set_1. Теперь закрываем все, ребутим комп, успешно забываем.  А в настройках браузера, у нас осталась твоя кука. А уж спереть куки это далеко не самое хитрое дело.

Можешь в хроме посмотреть в настройки->дополнительно->настройки контента->файлы куки->все файлы... и там грепом wex_set_1 получаем наши секретки. Это если на вскидку.

Сам браузер это большая уязвимость. Не продвинутые пользователи свои ключи потерять могут.

У себя я сделал config.yml для предварительной настройки (можно json). Ключи берутся из переменных окружения контейнера, которые устанавливаются через setup.sh. Т.е в явном виде ты их не хранишь но поднимаешь контейнер через установщик на лету их подхватываешь (можно проще сделать, тут я заигрался).  docker inspect ecceсно ток из под рута.

Апи для курла. Если извратится можно и графики в консоли строить но это уже для демона лишняя избыточность.

Дебаг... но в проде дебага вообще быть не должно) JS дебажется консольлогом для эстэтов можно и дебагером в браузере) пых var_dump если впадлу заморачиваться и xdebug если хочешь внятный результат.

Суперглобальные переменные вообще как табу. Причины можешь сам почитать.