Security 处理API的Cookie和基于令牌的身份验证

人们似乎一致认为，使用存储在localStorage中的会话令牌是一个坏主意，因为localStorage会受到XSS攻击

所以我们决定采用基于cookie的身份验证。我们现在面临一个新问题：如何处理由移动应用程序建立的会话

对于这些用例，我们需要发出一个在客户端上持久存在的令牌。问题是，我们用于返回令牌或刷新令牌的任何API端点也必然会暴露给浏览器客户端，因此没有任何东西能够阻止XSS攻击向令牌或刷新端点发出请求

现在，我们正在进行基于cookie的身份验证，该验证只存储具有HTTP、安全和相同站点集的JWT。我们还没有找到处理移动客户端的最佳方法

是否有管理用于处理移动和浏览器客户端的API会话的最佳实践？或者我应该仅仅创建一个单独的API端点以在这两种情况下使用