Session的主要功能是保持會話信息
Token則只用於登錄用戶的身份鑒權。也更加符合RESTful中無狀態的定義。這種token,是不需要存在服務器的,所有認證信息(用戶id,過期時間等)是被加密在token當中的,在服務端解密token就可以獲取認證信息。token通常是放在header中進行請求。
交互流程
客戶端通過登錄請求提交用戶名和密碼,服務端驗證通過后生成一個Token與該用戶進行關聯,並將Token返回給客戶端。
客戶端在接下來的請求中都會攜帶Token,服務端通過解析Token檢查登錄狀態。
當用戶退出登錄、其他終端登錄同一賬號(被頂號)、長時間未進行操作時Token會失效,這時用戶需要重新登錄。
