其实Session和Token总体上还是很相似的,但是也有以下区别:
1. 过期时间:Session的过期时间存在cookie的Max-age字段,Token的过期时间存在服务器
2. 使用范围:Session-key的储存依赖cookie机制,不能脱离浏览器;而Token可以不依赖cookie,哪怕是在get/post请求的参数中带上来都可以,所以很多第三方的登录\支付等API接口都是用Token这种机制
原文:https://www.cnblogs.com/Jupiter1994/p/9608277.html