JWT (JSON Web Tokens) y sesiones basadas en cookies son los dos enfoques principales de autenticación. Cada uno tiene ventajas según el contexto.
Autenticación por sesión
Token de sesión almacenado en el servidor (memoria, Redis, DB). Cookie con session ID. Fácil invalidar (eliminar sesión del servidor). Estado server-side.
JWT
Token autónomo firmado. Contiene claims (userId, rol, exp). Sin estado server-side. Válido hasta expirar. Difícil invalidar (revocación complicada).
Comparativa
Sesión: más fácil invalidar, seguro contra robos de token. JWT: escalable (sin almacenamiento), mejor para microservicios y APIs móviles.
Recomendación
Monolito/SRP: sesión. Microservicios/API-first: JWT. Mobile apps: JWT (sin cookies). Considera refresh tokens para JWT de larga duración.

