session和token是否可以2選一

session在mvc的模式中好用，方便。缺點(diǎn)是客戶端必須支持cookie，而且session默認(rèn)過期時(shí)間就幾十分鐘。

前后端分離、手機(jī)app、小程序等，用token好，一份token到處運(yùn)行，放到緩存還是數(shù)據(jù)庫(kù)由你。
沒有代碼，參考 sso方案 和 oauth2方案

session是基于cookie的，如果cookie都沒有，更別說session了，除非你才用特殊配置才可以使用session，你可以直接才用token，在表中建立一個(gè)token字段，還有expires過期時(shí)間字段，問問題就解決了

沒有接觸過小程序，所以對(duì)小程序的expire time不甚了解，至于session和token，session是占用服務(wù)器資源的，對(duì)于大量client的session存儲(chǔ)，需要考慮內(nèi)存開銷，內(nèi)存異常（清洗、jvm宕機(jī)等），不過這個(gè)可以通過第三方緩存服務(wù)器來輔助解決，session有自己維護(hù)生命周期，session不支持跨應(yīng)用（每個(gè)client會(huì)產(chǎn)生不同的sessionId），當(dāng)然，你可以自己去實(shí)現(xiàn)服務(wù)器上session緩存池，然后不同應(yīng)用傳遞相同sessionId來達(dá)到所謂的跨應(yīng)用。而token（一般我使用JWT生成）是client持有，服務(wù)端不維護(hù)（如果你想維護(hù)的話，也可以，但一般沒這個(gè)必要），所以對(duì)于服務(wù)端內(nèi)存占用上就有所節(jié)省，token中也可以存儲(chǔ)自己想要的數(shù)據(jù)，可以支持做相關(guān)登錄認(rèn)證、授權(quán)認(rèn)證等，token支持跨應(yīng)用（應(yīng)為服務(wù)端不管token是哪個(gè)應(yīng)用過來的，只驗(yàn)證是否成功），token自帶expire time，但本身不維護(hù)生命周期，所以一般token超時(shí)后，再使用的話，就會(huì)解析錯(cuò)誤，如果要維護(hù)生命周期，可以自己實(shí)現(xiàn)，我一般都是加個(gè)refresh time。總的來說，session更適用WEB應(yīng)用系統(tǒng)，token較適用APP應(yīng)用。