Я получаю authToken в ответ и храню его в кулинарии ie, и он не должен читаться браузером javascript и должен быть доступен только в определенном домене.
let name = "authToken";
let value = res.authToken;
document.cookie = encodeURIComponent(name) + "=" + encodeURIComponent(value);