Отказ и замена файлов cookie JWT только для веб-страницы

У меня есть сценарий использования, идея проконсультироваться. Допустим, предположительно у нас есть обычная не единственная страница. Мы действительно хотим использовать JWT и в то же время не использовать куки-файлы - отказаться от использования куки-файлов вообще. Является ли хорошей идеей динамически добавлять канал-носитель к каждому запросу? Пользователь щелкает ссылку, и запускается событие js, которое добавляет маркер носителя в заголовки.

Я спрашиваю, потому что все чаще я вижу одностраничные приложения, встроенные, запутанные в классические одностраничные приложения. У JWT действительно большой потенциал, но смешивание файлов cookie и JWT, на мой взгляд, не очень чисто и подвержено ошибкам. Мы снова должны разобраться с CSRF, так что... иметь токен CSRF в JWT и JWT в cookie.

Приведенное выше решение позволяет нам иметь дело только с токенами JWF, что упрощает битву за безопасность. Если кто-то не вошел в систему, JWT не будет добавлен.

Но я что-то упускаю в этой концепции или это твердо?