Cita: Mantenerlo en una variable de sesión?
Definitivamente es mejor, porque la sesión no es visible para el usuario pues existe únicamente en el servidor.
Cita: O meterlo a un input hidden en el HTML?
Obviamente es peor porque expones dicha información al usuario, un scrapper bien podría extraer el token y automatizar llamadas a tus paginas, etc.