1.session是有状态化,会记录并存储会话信息,token是无状态化的,不会存储会话信息
2.session是依赖链路层来提高通信安全,而token是通过身份认证方式,对请求进行签名从而防止监听或重放攻击等,所以它们两者并不冲突。如果需要实现有状态,可以添加session在服务器端来完成状态保存操作
其实session认证只是完成sessionID信息的存储操作,只是相对安全而已。session实现是一种简单认证方式,只要存在sessionID,即可得到用户的全部权限。而token,不同的机制其认证方式不同。