Реализация кроссдоменной авторизации

Есть сайт service.com, выступающий в качестве точки авторизации для сайта mydomain.com.

При авторизации sessionID записывается в БД, на сайте service.com ставится кука с флагом авторизации и случайным идентификатором этой куки.

Задача - получить авторизацию для mydomain.com, т.е. запросить куку с service.com со значением флага авторизации. Если флаг установлен, из БД запрашивается sessionID, после чего на mydomain.com запускается session_start(sessionID).

Значение куки планирую получить с помощью XMLHttpRequest.

Вопрос: позволяет ли XMLHttpRequest прозрачно, т.е. без действий пользователя установить куку, или он может лишь передать значение этой куки? Насколько я понимаю, только передать значение. Но тогда вопрос: как передать полученные значения флага авторизации и идентификатора куки в php-скрипт, чтобы по полученному идентификатору запросить sessionID из БД?

Js будет вставлен в header:

<!DOCTYPE html>
<html>
  <head>
    <script type="text/javascript" src="js/get_cookie.js"></script>
</head>

Может быть я вообще неправильно подхожу к решению задачи, прошу подсказать правильный путь.