Non, un cookie signé c'est très bien, c'est même indispensable pour empêcher les cookies trafiqués.
Le principal problème des JWT c'est si tu donne un token qui ouvre une sesssion pour, par exemple, deux jours. Durant ces deux jours, tu n'as pas moyen de révoquer cette sessions sans utiliser un service de blacklist de token, ce qui est chiant, ou bien checker la validité en base de données, et dans ce cas autant utiliser le auth token classique.
Bon mais ça dépend des applis, dans plein de cas c'est très bien avec des tokens valides seulement quelques minutes pour aller récupérer une seule entité.
Le principal problème des JWT c'est si tu donne un token qui ouvre une sesssion pour, par exemple, deux jours. Durant ces deux jours, tu n'as pas moyen de révoquer cette sessions sans utiliser un service de blacklist de token, ce qui est chiant, ou bien checker la validité en base de données, et dans ce cas autant utiliser le auth token classique.
Bon mais ça dépend des applis, dans plein de cas c'est très bien avec des tokens valides seulement quelques minutes pour aller récupérer une seule entité.