엑세스 토큰을 쓰면 더이상 쿠키/세션은 필요없는 것일까? 자동로그인은 쿠키 또는 세션을 사용한 것일까? 소셜로그인인 경우, refresh token과 access token을 발급 받는데, 여기서 쿠키/세션은 사용이 안되는가?