Проясните кто-то пж один момент. Когда мы делаем обычную авторизацию в ларавел, мы храним laravel_session токен в кукис. А когда мы делаем аутентификацию по апи, мы юзаем authentication bearer и токен, который отправляем отдельным хедером. Если мы юзаем JWT - мы делаем пост запрос при логине и сохраняем токен, который используем при последующих запросах и тоже суем его в куки.

В чем разница вообще, как правильно и почему может использоваться один или другой подход???

Почему например по апи нет laravel_session параметра в куки

кука с сессией http_only

куки вроде только у браузеров

В rest API нет сессий и кук.

что лучше: один огромный сложный запрос, или три мелких, но интуитивно понятных. Но, эти три мелких жрут на 3 запроса больше

запрос запросу рознь.

лучше хорошее комментирование и названия методов

часто бывает что лучше несколько и они будут быстрее.

да блин, я когда-то писал что-то страшное. Сейчас вроде как захотелось получше сделать. В итоге на 3 запроса больше получается

считай общее время исполнения

главные враги производительности как раз обычно огромные длинные запросы, которые убивают базу залочивая всё

Так, а почему ее вообще используют? Почему нельзя вместо нее юзать не хттп онли куку с такими же целями

Я не знаю как посчитать, у меня страница иногда по разному грузится

секьюрити, все дела

Аа, ее нельзя получить из кода

Ну а jwt это не секьюрно выходит?

Jwt секьюрно, потому что приватная часть ключа у тебя на сервере лежит и никуда не передается.

Ну я имею в виду в чем разница. Где конкретно не секьюрен laravel_session токен если он не хттп онли, и почему в аналогичной ситуации jwt токен секьюрный

Он часто меняется