Comment conserver l'état sur le client SAULEMENT?

Suite à cette question: un cookie généré avec Javascript (ne pas envoyer l'en-tête par le serveur) est-il volé ou utilisé par un attaquant?

Ça me rend fou.
Comment peut-on conserver l'état sur le client en utilisant un jeton d'accès FB?
Il faut l'utiliser pour accéder aux ressources sur son propre serveur, et aussi sur le serveur FB. En supposant que l'on utilise un framework js (Backbone / Marionette) et l'authentification REST.
Il ne peut pas être chiffré en tant que tel, et pourtant il n'y a pas d'autre moyen que d'utiliser un cookie pour garder l'état sur le client.

J'ai fait beaucoup de recherches.
Chaque source mentionne de garder l'état sur le client, afin d'éviter les sessions du serveur, mais je ne trouve pas une seule source qui explique comment le faire en toute sécurité.

Si vous connaissez la réponse, partagez. Merci.

Vous pouvez stocker des informations sur le client en toute sécurité si le serveur la distribue.
Vous pouvez crypter ou signer les données à l'aide d'une clé secrète que seul le serveur connaît et décrypte / valide l'information en l'utilisant.

Toutefois, par définition, vous ne pouvez pas stocker les informations en toute sécurité, ce qui est également généré sur le client lui-même. C'est juste le client jouant avec lui-même. Tout le monde peut inspecter ce qui se passe exactement, de sorte que vous ne pouvez pas signer ou crypter quoi que ce soit en utilisant une clé secrète, car, par définition, la clé cesse d'être secrète si vous la donnez à tous les clients. Vous ne pouvez également pas faire confiance aux informations que le client envoie au serveur car le client est libre d'envoyer quelque chose au serveur qu'il souhaite. Vous ne pouvez pas faire confiance à un code exécuté sur le client car il est entièrement hors de votre contrôle.

Quels sont les limites actuelles des cookies dans les navigateurs modernes?