Согласно этой (на youtube) конференции, мы не должны использовать аутентификацию Cookie для Web Api, потому что в случае, если в одном домене несколько серверов, существует возможность для атаки CSRF. ...