如果基于cookie的身份验证与REST API一起使用，那么如何将相同的API与移动应用程序一起使用

我正在使用Node开发一个带有REST API的SPA web应用程序。我在很多资料中读到JWT不应该存储在浏览器的localStorage中；而是应该使用设置了httpOnly标志的cookie进行设置。我还读到，移动应用程序和SPAs应该使用基于令牌的身份验证。

如果我应该使用基于令牌的身份验证，我应该将令牌存储在客户端的哪里？

虽然在web客户端中可以设置cookie，但在为移动设备开发客户端时，如何使用相同的REST端点？我不确定移动应用程序是否使用了cookie的概念。

如有建议，我们将不胜感激。