La différence entre l'authentification par jeton (JWT) et par session serveur (cookie), et quand utiliser chacune.
Session : l'état est stocké sur le serveur (mémoire/BD) ; le client ne détient qu'un cookie d'ID de session, consulté à chaque requête.
JWT : l'état réside dans le jeton lui-même, le serveur reste sans état et authentifie par la seule vérification — idéal pour la mise à l'échelle et les microservices.
Les sessions se révoquent instantanément ; un JWT est difficile à annuler avant son expiration, d'où des durées courtes, la rotation ou une liste de blocage.
Règle générale : serveur unique / déconnexion immédiate → sessions ; sans état, distribué, API ou mobile → JWT.
Essayez de décoder un jeton vous-mêmeCollez simplement et l'en-tête, la charge utile et les revendications se déploient instantanément.