基于 Token 登录验证（无会话状态）

用户发出登录请求，带着用户名和密码到服务器进行验证，服务器验证成功就在后台生成一个令牌返回给客户端，客户端把这个令牌存起来（浏览器可以存储到 Cookie 中，服务端可以存放到 Session，数据库， Redis 中）。后续的每次操作客户端都需要带着令牌发出请求，服务器会对令牌进行检测。

基于 Session 登录验证（有会话状态）

用户发出登录请求，带着用户名和密码到服务器验证，服务器验证成功就将用户信息写入到 Session 中。后续用户再请求就可以查看 Session 中有没有登录信息，有就允许登入或者继续操作，没有就返回到登入界面。

参考链接：