Как обеспечить безопасную авторизацию, если админка и сервер на разных хостах?

Добрый день,

Появилась необходимость реализовать такую штуку с оптимальным решением в плане безопасности. Раньше вел проекты на одном хосте (сразу клиент и сервер) и авторизацию хранил в сессиях. Недавно решил разделить клиента (пользовательская часть и админка) и сервер (База данных, серверная часть на PHP) посредством общения на REST. при этом я не имею возможности использовать CSRF. В куках я так понял - не очень хорошее решение хранить авторизационные данные. Краем глаза слышал про токены. Посоветуйте вариант, добрые люди!