Способы доставки Access/Refresh Token

Как лучше организовать доставку access/refresh токенов в API?

В общем случае, для доступа к защищенным endpoint'ам, для авторизации используется заголовок Authorization: Bearer <token>, однако, в случае с web-приложением, при таком способе придется хранить токены так, чтобы к ним имел доступ JS, что небезопасно, поэтому как вариант хранение токенов в httpOnly cookie-файлах и отправление их вместе с запросом с последующим чтением cookie на стороне сервера, однако, это не очень удобно небраузерным платформам (насколько я слышал, по крайней мере).

Как вариант решения, можно проверять сначала заголовок, если он отсутствует - проверять cookie-файлы, а если и они отсутствуют, выбрасывать 401 ошибку. Насколько это "рабочий" метод? Есть ли у кого опыт с авторизацией в API посредством JWT токенов - как вы в своих проектах реализовывали их доставку и хранение?