@Sp3r4z généralement utilise le local storage et j'envoie le token en header. Mais tout va dépendre de ton besoin. Certains préfèrent le cookie http only mais je trouve ça chiant à gérer sur les appels httprequest.