Difficilmente passa una richiesta cross-domain per il login, per cui difficilmente potrai usare una pagina web esterna al dominio tramite browser, forse come diceva vincent con un plugin del browser può funzionare. Probabilmente funzionerà tramite software (non browser) o se fatto dal server (server->server). In poche parole non dovresti poterlo fare tramite js con chiamate ajax, a meno che la pagina non faccia parte del dominio.
Per il login non vale il discorso di autorizzare le chiamate cross-domain, anche se autorizzate il browser se ne infischia e non lo consente...
Sostanzialmente se così non fosse una mia pagina su un mio dominio (quindi manipolabile da me) potrebbe sfruttare tramite chiamate ajax una eventuale autenticazione fatta dall'utente prima che entrasse nel mio dominio, la chiamata ajax sarebbe autenticata e il tuo js potrebbe fare tutte le operazioni sul dominio dove l'utente era autenticato.
Extra-browser questo non può succedere, quanto meno non casualmente come potrebbe avvenire nel browser (in pratica ti potresti autenticare ovunque durante la navigazione con il browser e qualsiasi sito potrebbe usare le tue autenticazioni tramite ajax e js sulle sue pagine).
In pratica si tratta di una limitazione (o meglio: protezione nei confronti dell'utente) del browser, extra-browser questo non avviene.
Ma se vuoi fare le cose "legali" perché non li contatti direttamente? così su due piedi non mi sembrano molto propensi nel permettere a qualcuno che faccia quello che vuoi fare tu... al contrario l'uso di un token mi suggerisce che abbiano altre vie per usare quest'ultimo.
Rispondi quotando