/*
 * 获取测试token
 * @param {*} channelId 频道号
 * @return {object} authinfo 
 */
var GenerateAliRtcAuthInfo = (channelId) => {
    var appId = "yourAppId";// 修改为自己的appid 该方案仅为开发测试使用，正式上线需要使用服务端的AppServer
    var appKey = "yourAppKey";// 修改为自己的appkey 该方案仅为开发测试使用，正式上线需要使用服务端的AppServer

这段代码，我理解它的意思是从服务端获取appId appKey
可以用ajax从服务端获取
但是我在浏览器里访问xxx.com/index.php?action=getAppInfo
照样可以看到输出了appId appKey
有什么解决办法吗？

这个看情况
如果你这个是封装到app中的，其实可以直接写，因为封装后对其他人无法获取的。
如果是普通的web页面，则没有办法根本性的加密处理，这个在客户端代码中肯定是可见的（无论如何加密，都存在一定的可见性），不过可以通过稍微的转码加密，再加上代码混淆，减轻直接泄漏的可能。