问我应该在API中使用哪种身份验证策略？

EN

我有一个客户端的角度-js应用程序。我有一个服务器端的nodejs。客户端和服务器端应用程序位于不同的域上。客户端使用API获取或发布一些数据。另外，客户端需要从服务器端获取图像，并在浏览器中显示它们。

我使用护照nodejs模块进行身份验证。我不知道哪种认证策略更适合我。我认为有两种类型的认证策略:基于令牌的认证策略和基于cookie的身份验证策略。我认为这两种类型对我来说都是无用的：

1. 如果我使用基于令牌的策略，那么我应该将每个请求中带有令牌的身份验证头发送到API。我可以在AJAX请求中发送头部，但是如果我想显示位于服务器端的图像，我就有问题了。因为浏览器不会在<img>标记中发送标头。
2. 如果我使用cookie，那么图像就没有问题了。但是我在AJAX请求方面有问题。因为会话cookie存储在服务器端应用程序的域上。如果我从客户端域发送AJAX请求，那么我应该在每个请求中发送cookie。我使用XmlHttpRequest来实现AJAX，我应该使用withCredentials选项来发送cookies。但是在跨域请求中，浏览器将在每个AJAX请求之前发送一个预运行(选项)请求。浏览器不会发送带有选项请求的cookie。这对我来说是个问题，因为如果没有授权，服务器端API就无法对选项请求做出正确的响应。

采用的解决办法是什么？