Как лучше авторизовывать WEB приложение через API сервер?

Развернуто API-ориентированное приложение (API-server имеет свои формы входа и регистрации) и frontend приложение.
1 - Сейчас авторизация frontend происходит с помощью запроса на API (oauth/token?grant_type=password) методом client credentials. Фронт приложение получает токен после отправки логина и пароля и сохраняет его в куки.
2 - Я же предполагаю что лучше авторизацию оставить на API сервере и при успешном логине редиректить пользователя с токеном на фронт (web.app.com?token=token) где токен запишется в куки.
3 - Проводить авторизацию на API сервере и с него устанавливать token cookie для домена web.app.com (frontend-приложение), затем перенаправить клиента на этот домен?
Как лучше?