La diferencia entre la autenticación por token (JWT) y por sesión de servidor (cookie), y cuándo usar cada una.
Sesión: el estado se guarda en el servidor (memoria/BD); el cliente solo tiene una cookie con el ID de sesión, consultada en cada petición.
JWT: el estado vive en el propio token, así el servidor se mantiene sin estado y autentica solo con la verificación — ideal para escalar y microservicios.
Las sesiones se revocan al instante; un JWT es difícil de anular antes de que caduque, así que usa vidas cortas, rotación o una lista de bloqueo.
Regla general: servidor único / cierre de sesión inmediato → sesiones; sin estado, distribuido, API o móvil → JWT.
Prueba a decodificar un token tú mismoSolo pega y la cabecera, la carga útil y las reclamaciones se despliegan al instante.