Вы путаете способ авторизации, со способом хранения токена.
В куках можно хранить как ключ сессии, так и JWT токен. Их любой из них можно хранить в localStorage (но не нужно по соображениям безопасности).
Что использовать, решать вам, плюсы и минусы есть и там и тут.
Я считаю оптимальным хранить ключ сессии в httpOnly cookie, а сами сессии в Redis. Но тут есть пространство для холивара)