Accedi per validare cookie + sessione.
Nota: i cookie sono HttpOnly: non li vedi in JS, ma vengono inviati automaticamente alle chiamate /api/*.