>> То есть API с куками еще должен иметь >> метод который их выдает (условно говоря - login). > API, по моему личному мнению - обязан быть stateless. То есть токен или что > угодно такое должно формироваться и передаваться при каждом запросе. именно. потому и говорю, что куки и API - не очень [правильно] совместимые вещи