Безопасно хранить токен доступа в файле cookie клиента, если файл cookie не отправлен на сервер

Я разрабатываю магистральное приложение с REST API для серверной части Laravel.
Это означает, что я аутентифицируюсь при каждом запросе, используя токен доступа, который я получаю из социальных сетей (например, Facebook, Google и т. Д.).

Мой план состоял в том, чтобы сохранить cookie-файл на стороне клиента, сгенерированный с помощью Javascript, для хранения токена доступа, чтобы я мог отправить его на сервер для аутентификации пользователя в моем приложении и чтобы можно было запрашивать ресурсы на сервере сервера. социальная среда (например, список друзей, фотографии и т. д.).

Обратите внимание, что я делаю дополнительную проверку с сервером FB в моем бэкэнде с помощью PHP.

Вопрос: Безопасно ли хранить токен доступа в файле cookie браузера, сгенерированном Javascript, когда этот файл cookie никогда не отправляется на сервер?

Например, это безопасная практика (см. Изображение ниже)?

Afaik, никто не должен иметь доступ к этому доступу, кроме самого пользователя.

Если нет, то я действительно не вижу способа выполнить безопасную (REST) ​​аутентификацию вообще …
Я долго размышлял над этим вопросом.