JWT-аутентификация в универсальных приложениях (рендеринг на стороне сервера)

Универсальный или серверный рендеринг создает страницу перед отправкой ее клиенту. В этот момент у пользователя не было возможности отправить какие-либо учетные данные, кроме как с помощью файлов cookie. JWT рекомендует использовать LocalStorage для хранения токена вместо файлов cookie, и я думаю, что это хорошая практика.

Я пытаюсь настроить SSR для приложения, похожего на блог. Пользователи создают контент, который может быть общедоступным (любой может найти его и прочитать его) или частным (только пользователь и соавторы могут найти его и прочитать). Обработка общедоступного контента в SSR проста, но для частного контента требуется токен, хранящийся в LocalStorage.

Лучшее решение, которое я мог бы придумать, - это отправить заглушку или, возможно, загрузочную страницу, с которой клиент может отправить учетные данные на сервер для извлечения личного контента. Проблема, с которой я сталкиваюсь при таком подходе, связана с конфиденциальностью: показ загрузочной страницы или заглушки показал бы, что на этом URL действительно есть контент, даже если он разрешается до 404 из-за отсутствия учетных данных. Отправка заглушки / загрузочной страницы для всего, публичного или частного контента, лишит цели рендеринга на стороне сервера.

Итак, мой вопрос: каковы лучшие методы обработки содержимого, которое требует аутентификации без файлов cookie? Любые примеры приветствуются. Любой фреймворк будет в порядке, хотя в настоящее время я использую Angular 5.