从 JavaScript 客户端对 REST API 进行授权和身份验证

我正在构建一个将从JavaScript客户端使用的PHP REST API，并且在弄清楚如何实现身份验证和访问方面遇到了一些问题。将有多个应用程序将使用我将要开发的JavaScript库来与我的应用程序进行对话和交互。我将为每个项目提供 API 密钥，因此这不是问题。

我开始感到困惑的地方是如何让这些网站上的用户向我的应用程序进行身份验证。让这个外部网站存储我的用户的帐户和密码信息似乎是一个坏主意;所以，我想我应该让我的JavaScript库包含一个登录小部件，要求为我的应用程序提供用户的帐户信息。

如果身份验证在那里成功，因为我使用的是 REST API，因此我需要将检索到的令牌存储在客户端 Cookie 或其他内容中，以便用户无需在外部站点的每个页面上再次登录到我的应用程序。但是，如果用户注销外部站点，然后另一个用户从同一浏览器登录，会发生什么情况？就我的JavaScript库而言，旧用户仍将登录到我的应用程序，因为cookie/令牌尚未过期 - 当前一个用户的会话结束时，我该如何清除我的cookie？或者，我在这里完全偏离了正确的道路吗？

所以，我认为这个过程会是这样的：

var token; // Some hashed string containing an expiration date and user id
var apiKey = '123abc';

// Read the cookie and check if it already contains the token
token = readCookie('token');
if (token == '') {
    // get username and password from user through some prompt

    var request_data = {apiKey: apiKey, user: username, pass: password};
    $.post('https://service.com/api/user/login', request_data, function(data) {
        token = data;
        document.cookie = "token=" + token;
    });
}

...

var get_data = {apiKey: apiKey, token: token};
$.get('http://service.com/api/<object>', get_data, function(data) {
    // Do something with data
});

抱歉，这里埋藏着几个问题。我想最主要的是，如果我将令牌存储到cookie中，我如何确保在用户注销外部应用程序时清除它？或者，如果我不应该将其存储到 Cookie 中，如何让客户端知道用户的状态？