我有一個帶有 Web 應用程序和REST API.兩者都通過openid連接在Liberty server. api 接受訪問令牌進行身份驗證。Web 應用程序并不完全是前端，所以我需要自由來處理身份驗證。我正在考慮將訪問令牌存儲在 cookie 中，并讓前端讀取 cookie 并將令牌添加到任何 api 調用中。有更好的選擇嗎？使用 javascript 可讀 cookie，我需要小心XSS.