后端写成的API，前端通过AJAX来访问，使用用户登录后后端给的cookie用来给API鉴权可行吗？发现大部分网站的API都是通过OAuth，还有token之类的，不知道怎么实现，为什么不通过用户登录的cookie来鉴权呢？有什么缺点么？