Сеансы против аутентификации на основе токенов
Я хочу знать, что безопаснее реализовать для аутентификации? & Почему? Аутентификация на основе сеанса ИЛИ аутентификация на основе токена
Я знаю, что сессии могут использоваться и для других вещей, но сейчас меня интересует только аутентификация.
Правда ли, что на стороне сервера ничего не хранится при использовании токенов (даже в памяти)? Если да, то как он идентифицирует токены с истекшим сроком действия, поскольку они также были подписаны с использованием того же секрета?