laravel. bearer от фронтэнда к бэкэнду

Написал на laravel 11 api(backend) и frontend, это два отдельных приложения, живут на разных хостах. На фронте ldap-авторизация с поиском юзера в бд. При успешной аутентификации в бд пишется personal_access_token и предоставляется доступ на сайт. На сайте много страниц с некими действиями, требующими выполнения запросов к api. Api в свою очередь может залогинить юзера по логину/паролю (поиск юзера в той же бд, что и фронт), либо отдать результат выполнения запроса по bearer-токену (тот же personal_access_token). Выполнение запросов на фронте и обработка результатов - js.

Если токен пихать непосредственно в заголовок authorization, и передавать в ajax, то всё прекрасно работает, но не должен же токен отсвечивать в коде js-скрипта?..

Везде пишут, что bearer-токен надо передавать с http-only куками. Вопрос: как???