Ich möchte wissen, welche Methode für die Authentifizierung sicherer ist und warum? Sitzungsbasierte Authentifizierung ODER Token-basierte Authentifizierung

Ich weiß, dass Sitzungen auch für andere Zwecke verwendet werden können, aber im Moment interessiert mich nur die Authentifizierung.

Ist es wahr, dass nichts auf dem Server gespeichert wird, wenn Token verwendet werden (nicht einmal im Speicher)? Wenn ja, wie identifiziert es sich mit abgelaufenen Token, die ebenfalls mit demselben Geheimnis signiert wurden?