А тут [1] поясняют почему токен лучше (хотя про недостатки сессий они привирают чуток) и предлагают юзать JSON Web Token это похоже на хороший вариант [1] https://auth0.com/blog/angularjs-authentication-with-cookies-vs-token/