Correto, essa é a ideia! Então apesar de que o Cookie é carregado até ao Client (para poder voltar em uma request futura para o Server), assinar com essa flag faz este dado ficar muito mais seguro do que colocar ele num LocalStorage.

E por curiosidade: isso gerou uma dificuldade do Client Web do TabNews para saber se o usuário está autenticado (e mostrar o menu no canto superior direito), pois não dá para saber se o Cookie de sessão existe 😅 então fazemos uma request nova para o endpoint /api/v1/user para saber se o usuário está de fato logado e salvamos em LocalStorage só o que não são dados sensíveis, como username, tabcoins, etc. 🤝

Muito interessante!!