Я бы не сказал, что токены "лучше" или "хуже", у них есть свои области применимости, как и у кук. Например, HTTP-onlySecure куки признаны одним из лучших механизмов хранения сессии. IdentityServer4 хранит сессию пользователя именно в куке по умолчанию.
Для того, чтобы толково ответить на Ваш вопрос понадобится написать немаленькую такую статью, не думаю, что это хорошая идея, тем более, что многие это уже сделали. Вот тут, если пролистаете до реального описания кук и токенов, может быть интересно почитать, например.
Если совсем коротко, то мне на ум приходят такие варианты.
Требуется выдавать "токены" одним центром авторизации для многих ресурсов. Возможно, это даже не ваш центр авторизации (Google, Facebook, Auth0 и т.д.).
Требуется логика, которая сильно выигрывает от stateless-механизма. Как тут в примере про отель.
Проблемой для реализуемого сценария является сам протокол кук, и связанная с ним специфика вроде отправки кук при каждом GET-запросе по умолчанию вообще, и CSRF-уязвимости в частности.
Я бы не сказал, что токены "лучше" или "хуже", у них есть свои области применимости, как и у кук. Например, HTTP-only Secure куки признаны одним из лучших механизмов хранения сессии. IdentityServer4 хранит сессию пользователя именно в куке по умолчанию.
Для того, чтобы толково ответить на Ваш вопрос понадобится написать немаленькую такую статью, не думаю, что это хорошая идея, тем более, что многие это уже сделали.
Вот тут, если пролистаете до реального описания кук и токенов, может быть интересно почитать, например.
Если совсем коротко, то мне на ум приходят такие варианты.