session的使用方式是客戶端cookie里存id,服務端session存用戶數據,客戶端訪問服務端的時候,根據id找用戶數據
而token一般翻譯成令牌,一般是用於驗證表明身份的數據或是別的口令數據,可以用url傳參,也可以用post提交,也可以夾在http的header中
session_id和token的作用比較相似,但說session一般既包括客戶端中的session_id,也包括服務端內存或數據庫中保存的session數據,另外session一般只標識會話,用戶身份的信息是間接保存在session數據中的,登錄之前也有session,登出甚至換身份登錄之后session_id可以保持不變,而token一般跟用戶身份有一一對應關系,登出之后token就失效,再有就是token從設計上必須通過get參數或者post參數提交,一般是不允許保存在cookies當中的,容易產生csrf漏洞
參考知乎
https://www.zhihu.com/question/51759560