Session 是一種HTTP存儲機制，目的是為無狀態的HTTP提供的持久機制。所謂 Session 認證只是簡單的把 User 信息存儲到 Session 里，因為 SID 的不可預測性，暫且認為是安全的。這是一種認證手段。?

而 Token ，如果指的是 OAuth Token 或類似的機制的話，提供的是 認證 和 授權 ，認證是針對用戶，授權是針對 App 。其目的是讓 某App 有權利訪問 某用戶 的信息。這里的 Token 是唯一的。不可以轉移到其它 App 上，也不可以轉到其它 用戶 上。?

轉過來說 Session 。Session 只提供一種簡單的認證，即有此 SID ，即認為有此 User 的全部權利。是需要嚴格保密的，這個數據應該只保存在站方，不應該共享給其它網站或者第三方App。?

所以簡單來說，如果你的用戶數據可能需要和第三方共享，或者允許第三方調用 API 接口，用 Token 。?
如果永遠只是自己的網站，自己的 App ，用什么就無所謂了。