session的使用方式是客户端cookie里存id,服务端session存用户数据,客户端访问服务端的时候,根据id找用户数据
而token一般翻译成令牌,一般是用于验证表明身份的数据或是别的口令数据,可以用url传参,也可以用post提交,也可以夹在http的header中
session_id和token的作用比较相似,但说session一般既包括客户端中的session_id,也包括服务端内存或数据库中保存的session数据,另外session一般只标识会话,用户身份的信息是间接保存在session数据中的,登录之前也有session,登出甚至换身份登录之后session_id可以保持不变,而token一般跟用户身份有一一对应关系,登出之后token就失效,再有就是token从设计上必须通过get参数或者post参数提交,一般是不允许保存在cookies当中的,容易产生csrf漏洞
参考知乎
https://www.zhihu.com/question/51759560