Quiero saber cuál es más seguro de implementar para la autenticación y por qué. Autenticación basada en sesión O Autenticación basada en token

Sé que las sesiones también se pueden usar para otras cosas, pero en este momento solo estoy interesado en la autenticación.

¿Es cierto que no se almacena nada en el lado del servidor si se usan tokens (ni siquiera en la memoria)? En caso afirmativo, ¿cómo se identifica contra los tokens caducados ya que también se habían firmado con el mismo secreto?