Pesquisando sobre, pois também fiquei curioso só usar cookie na verdade é uma boa opções desde que vc utiliza a flag httpOnly e secure. pois o httpOnly impede ataque xss pois não é possível enviar usando javascript e o secure só permite o envio usando https.
Ainda estou pesquisando sobre o assunto pois sempre utilizei localstorage.
Interessante, também sempre utilizei o localstorage para armazenamento local. Parece ser uma alternativa válida!
Perguntando ao chatgpt achei uma abordagem interessante que é a seguinte:
Como mencionei acima usando essa configuração com cookie o controle da sessão e segurança fica toda no backend isso é como aplicações mvc tradicionais e a forma de trafegar o token é via navegador no caso do angular existe a possibilidade de passar a flag **withcretential** nas requisições com isso o navegador sabe que precisa enviar o token.
Achei essa forma bem interessante e parece ser bem simples de trabalhar tbm.