请问老师关于cookie和token

请问一下老师看到您在别的同学回答下讲到关于cookie使用http-only属性，这样的话在下发token应该通过什么途径呢？我理解是下发token存储在cookie中。一般工作场景中大部分会中cookie取到这个token值然后在header中携带防止xsrf。但是老师讲到cookie携带http-only属性，这样的话js无法读取cookie，那么自然也就无法取到token。我能想到的也只有在客户端下发cookie中携带token，之后客户端发送请求时候携带cookie(cookie中本身就存在token)向服务端发送请求。请问老师是这样的吗。

还有一点我不是很明白的是，原本cookie也是每次都在变化的，如果把token仅仅放入cookie中和服务端做鉴权。那么和本身的cookie机制有什么区别呢？我不是特别明白这个，希望老师有空可以解惑。