Почему cookiemonter не работает?
Cookies и LocalStorage не предназначены для использования в разных доменах, поэтому плагин или веб-сайт, использующие ваш виджет, должны будут (при первом входе пользователя) войти в систему. Учетные данные не могут (и не должны) отображаться в междоменном домене.
Как использовать один и тот же междоменный файл Cookies / LocalStorage
В какой-то момент пользователю будет предложено пройти аутентификацию в вашем веб-API, например, с именем пользователя и паролем. Возвращаемый токен (учетные данные) может быть установлен на один и тот же токен на всех сайтах, которые использует этот человек.
Скажите, что пользователь x входит и запрашивает у вашего API токен. Ваш API возвращает токен token123. Пользователь x теперь открывает новое окно и снова запрашивает токен с тем же именем пользователя и паролем. Теперь ваш API увидит, что x уже имеет сеанс, и снова вернет token123.
Когда пользователь y приходит и запрашивает токен с другим именем пользователя и паролем, API возвращает token345 и сохраняет его на стороне клиента.
Токены будут храниться в LocalStorage или в виде Cookie, чтобы клиент мог проверить, есть ли у пользователя токен или ему нужен новый из API.
Что касается безопасности
Я бы настоятельно рекомендовал вам использовать хорошо используемый и определенный метод аутентификации пользователей и отправлять токены. Лучшим способом было бы реализовать такие методы, как Microsoft Azure Active Directory или Google Sign-In (существует множество хорошо используемых технологий). Хранение токенов на вашем собственном сервере - это не то, чем вы хотите заниматься. По крайней мере, не пароли для пользователей.