¿Las cookies están en desuso? ¿En que te basás para afirmar eso?
Si sabés lo que es cookie y lo que es session, deberías saber que no son excluyentes.

Para mantener una sesión se debe pasar el session_id, ya sea en la ruta de la petición (GET), en el cuerpo de la petición (POST, PUT) o en una cabecera. Y el modo más usado es pasarlo es vía cookie (al final las cookies no son más que una cabecera).