我有一个带有 Web 应用程序和REST API.

两者都通过openid连接在Liberty server. api 接受访问令牌进行身份验证。Web 应用程序并不完全是前端，所以我需要自由来处理身份验证。

我正在考虑将访问令牌存储在 cookie 中，并让前端读取 cookie 并将令牌添加到任何 api 调用中。有更好的选择吗？

使用 javascript 可读 cookie，我需要小心XSS.