что они будут передаваться именно как куки в хедерах (а не в теле аякс-запроса и не в хедере Authorization), но разве это не будет противоречить stateless-парадигме API?
Не туда ты глянул. httpOnly кука недоступна из JSa. Это все что тебя инетресует с точки зрения безопасности
Если на сервере не будет собственно храниться самой сессии пользователя — норм
Как удобнее, так и делай. Stateless невозможен в приложении где есть права и логин пользователя
Обсуждают сегодня