Bem, o token que salvo no banco é o que dá acesso à API do Google Drive. Uma vez que o usuário permite que o DrawApp salve arquivos no seu Drive, salvo o token no banco para reutilizar depois. É mais seguro dessa forma porque o token acaba sendo usado apenas entre o backend do DrawApp e o backend do Google Drive, ou seja, ele não é exposto pro navegador.

Já a autenticação do usuário no DrawApp é feita via Cookie, que esse sim fica no browser.

Espero ter respondido sua dúvida, obrigado pelo comentário!