差异: [base::session]本身不保存验证信息 [base::jwt]的token保存有加密后的验证信息 相同点 实现免验证 用户发送http请求的时候带上session或token都可以通过验证 安全性 第三方从session和token都不能反推得到密码