我正在开发一个小型js组件,以允许网页的访问者在其上留下评论。
该组件旨在用作外部js。
我想提供一种基于用户名和密码的身份验证方法。
即,来自域somepage.com上的页面:
<script src="https://my-comments-service.com/component.js"></script>
有时,注释组件将显示一个登录表单,并向https://my-comments-service.com/user/auth上的某些身份验证服务发出Ajax请求。该服务将创建某种身份验证令牌。
我现在有一些疑问。
该身份验证令牌应存储在哪里?
如果我根据来自https://my-comments-service.com/user/auth的响应通过HTTP标头创建cookie,则脚本https://my-comments-service.com/component.js无法访问该cookie值,因为它属于域my-comments-service,但它是在{ {1}}。
如果我将值存储在somepage.com或localStorage中,则任何第三方脚本都可以访问此身份验证令牌。
我想知道实现此目标的最佳做法。