Der Unterschied zwischen Token- (JWT) und Server-Session- (Cookie) Authentifizierung und wann man welche nutzt.
Session: Der Zustand liegt auf dem Server (Speicher/DB); der Client hält nur ein Session-ID-Cookie, das bei jeder Anfrage nachgeschlagen wird.
JWT: Der Zustand steckt im Token selbst, der Server bleibt zustandslos und authentifiziert allein durch Verifizierung — gut für Skalierung und Microservices.
Sessions lassen sich sofort widerrufen; ein JWT ist vor Ablauf schwer zu annullieren, daher kurze Laufzeiten, Rotation oder eine Blockliste.
Faustregel: einzelner Server / sofortiges Logout → Sessions; zustandslos, verteilt, API oder Mobile → JWT.
Dekodieren Sie ein Token selbstEinfach einfügen — Header, Payload und Claims werden sofort aufgeschlüsselt.