Es hängt davon ab, ob Ihr GraphQL Consumer eine Webapp oder Mobile App ist.
Wenn es eine Webanwendung ist, würde ich empfehlen, mit Session-Cookie-basierter Authentifizierung zu bleiben, da die meisten gängigen Web-Frameworks dies unterstützen, und Sie erhalten auch CSRF-Schutz.
Wenn es eine mobile App ist, dann wollen Sie JWT. Sie können versuchen, einen Cookie-Header manuell aus der Login-Antwort zu holen und diesen "Cookie" in Ihre nächste Anfrage einzufügen, aber ich hatte das Problem, dass einige Proxy-Server diesen "Cookie" entfernen, so dass Ihre Anfrage nicht authentifiziert wurde. Wie Sie bereits gesagt haben, ist JWT bei jeder authentifizierten Anfrage (GraphQL-Anfrage) der richtige Weg.
Mögliche Duplikate von [Authentifizierung in Relay & GraphQL] (http://stackoverflow.com/questions/38618385/authentication-in-relay-graphql) –