如何在没有Cookie的情况下在SPA中使用第三方authentication服务？

在我的Web应用程序中，恰好是一个SPA（单页应用程序），我有OpenID和OAuth2.0客户端用于使用第三方服务进行用户validation。 即Google（OpenID），Yahoo（OpenID），Windows Live（OAuth2）和Facebook（OAuth2）。

现在，我已经设置了一个令牌端点，用于交换不记名令牌的用户凭证。 这里的目标是通过在SPA的所有请求中设置的授权标头replaceCookie。 为此，我使用OAuth2.0客户端密码身份validation策略和“密码”grant_type根据凭据（oauth2orize + passport-oauth2-client-password）对用户进行身份validation。

我想知道 ：

• 如何使用第三方服务validation的用户继续使用令牌承载validation方法？

• OAuth2.0规范中有什么处理这种情况？

• 这种实现的常见做法是什么？

• Grunt任务查杀完成后的服务器
• 我如何从NodeJS / Expressnetworking应用程序运行CasperJS / PhantomJStesting？

• SPA应该使用Ajax还是socket.io？
• 如何在我的SPA加载过程中validation和更新JWT id_token？
• 用于生成PDF的React JS / Node JS / Java RESTful API
• PhantomJS没有正确地提供JS和CSS文件
• 为Node.js服务器+ SPA javascript框架设置自动化BDDtesting环境的简单方法？
• 使用React Router 4进行服务器端渲染时，上下文为未定义
• 使用Node Express和Passport捕获锚链接/路由
• 如何用Express后台构build多个布局的Angular JS
• expression通配符规则