如果将访问令牌设置为仅HTTP cookie，是否会有任何问题？

Question

这是设置访问令牌的好方法，因为http只有cookie，就像我们对刷新令牌一样？然后，当用户登录时，我们不需要发送访问令牌作为响应。

如果我们喜欢这样，它可以确保访问令牌也将随着每个请求发送。另外，我们不需要为请求设置授权标题（因为访问令牌仅在HTTP中可用，并且将随附所有请求发送）。还可以防止XSS攻击用​​于访问令牌，因为JS无法仅访问HTTP cookie。有人可以解释一下吗？

如果这样做，我将无法使用客户端应用程序中访问令牌中编码的数据。但是我可以将所需数据作为JSON响应发送并将其存储在本地存储中。我想这比将访问令牌存储在本地存储中是安全的。那是我问题的问题吗？