Session 是一種HTTP存儲(chǔ)機(jī)制，目的是為無狀態(tài)的HTTP提供的持久機(jī)制。所謂 Session 認(rèn)證只是簡(jiǎn)單的把 User 信息存儲(chǔ)到 Session 里，因?yàn)?SID 的不可預(yù)測(cè)性，暫且認(rèn)為是安全的。這是一種認(rèn)證手段。?

而 Token ，如果指的是 OAuth Token 或類似的機(jī)制的話，提供的是 認(rèn)證 和 授權(quán) ，認(rèn)證是針對(duì)用戶，授權(quán)是針對(duì) App 。其目的是讓 某App 有權(quán)利訪問 某用戶 的信息。這里的 Token 是唯一的。不可以轉(zhuǎn)移到其它 App 上，也不可以轉(zhuǎn)到其它 用戶 上。?

轉(zhuǎn)過來說 Session 。Session 只提供一種簡(jiǎn)單的認(rèn)證，即有此 SID ，即認(rèn)為有此 User 的全部權(quán)利。是需要嚴(yán)格保密的，這個(gè)數(shù)據(jù)應(yīng)該只保存在站方，不應(yīng)該共享給其它網(wǎng)站或者第三方App。?

所以簡(jiǎn)單來說，如果你的用戶數(shù)據(jù)可能需要和第三方共享，或者允許第三方調(diào)用 API 接口，用 Token 。?
如果永遠(yuǎn)只是自己的網(wǎng)站，自己的 App ，用什么就無所謂了。