Как лучше понятие растяжимое =)
Рекомендую использовать все таки
JWT авторизацию:
1) Отправляем на сервер email и пароль.
2) На сервере идентифицируем пользователя и генерируем токен в который зашиваем id пользака.
3) В Response возвращаем какие то данные и токен и сохраняем его в куки (ВНИМАНИЕ! Не в localstorage, а именно в куки - так безопасней).
4) На клиенте зашиваем токен в заголовок:
Authorization: Bearer <TOKEN>
В случае логаута:
1) Удаляем токен из куки
2) Редиректим пользака на страницу авторизации
Я в большинстве своих приложений вообще использую
Kerberos.