Я хочу знать, что безопаснее реализовать для аутентификации? & Почему? Аутентификация на основе сеанса ИЛИ аутентификация на основе токена

Я знаю, что сессии могут использоваться и для других вещей, но сейчас меня интересует только аутентификация.

Правда ли, что на стороне сервера ничего не хранится при использовании токенов (даже в памяти)? Если да, то как он идентифицирует токены с истекшим сроком действия, поскольку они также были подписаны с использованием того же секрета?