移动端原生 App 开发优先选 JWT 鉴权，因为原生网络请求不自动携带 Cookie，JWT 通过请求头传递更灵活；移动端 H5 页面或同域 Web 项目可选 Session-Cookie，利用浏览器自动管理特性降低前端成本。风险边界在于 JWT 难以主动注销且 localStorage 存 Token 易受 XSS 攻击，Session-Cookie 需配置 CORS 且依赖服务端存储性能。

快速处理思路

架构选型阶段先确认客户端类型，原生 App 直接走 JWT 方案，移动端网页优先评估 Session-Cookie。开发阶段注意存储位置配置，JWT 存内存或加密存储，Session-Cookie 开启 HttpOnly。测试阶段重点验证注销生效时间和跨域请求携带情况。

为什么会这样

核心区别在于状态存储位置和网络请求携带机制不同。JWT 是无状态令牌，信息加密在 Token 中，客户端通过 Authorization 请求头发送，服务端无需存储会话数据，适合分布式和原生 App。Session-Cookie 是有状态机制，服务端存储用户数据，客户端仅存 SessionID 并通过 Cookie 自动携带，依赖浏览器机制，原生 App 无法自动管理 Cookie。

分步处理

1. 确认客户端环境：原生 App（Android/iOS）选择 JWT，移动端浏览器/H5 选择 Session-Cookie。

2. 配置令牌存储：JWT 方案将 Token 存于客户端内存或加密存储区，避免明文存 localStorage；Session 方案配置 Cookie 为 HttpOnly 和 Secure 属性。

3. 设置请求头：JWT 需在请求头添加 Authorization: Bearer <token>；Session 方案确保客户端允许携带 Cookie（跨域需配置 withCredentials）。

4. 服务端验证逻辑：JWT 验证签名和过期时间；Session 根据 SessionID 查询服务端存储（如 Redis）验证有效性。

怎么验证是否生效

1. 抓包检查请求头：确认 JWT 请求含 Authorization 字段，Session 请求含 Cookie 字段。

2. 验证注销功能：执行登出操作后，JWT 方案需确认 Token 是否加入黑名单或等待过期，Session 方案确认服务端 Session 是否删除。

3. 跨域测试：在不同域名下发起请求，JWT 应正常通行，Session-Cookie 需确认 CORS 和 Cookie 策略配置正确。

常见坑

1. JWT 存 localStorage 易受 XSS 攻击：恶意脚本可窃取 Token，建议原生 App 存安全存储区，Web 端谨慎使用。

2. Session-Cookie 跨域限制：移动端 H5 嵌在 App WebView 中时，Cookie 可能不自动携带，需手动配置。

3. JWT 无法立即失效：Token 未过期前依然有效，高安全场景需配合短期 Token 加刷新机制或服务端黑名单。

常见问题

移动端原生 App 应该选 JWT 还是 Session？

优先选 JWT，因为原生网络库不自动管理 Cookie，JWT 通过请求头传递更可控，且支持跨域和无状态扩展。

哪种方案能实现立即注销登录？

Session-Cookie 方案能实现立即注销，服务端删除 Session 即可生效；JWT 需维护黑名单或等待自然过期。

移动端 H5 页面用哪种鉴权更安全？

Session-Cookie 更安全，可设置 HttpOnly 防止 XSS 窃取，但需配置好 CSRF 防护和跨域策略。

参考来源

1. JWT 和 Session-Cookie 两种鉴权

2. Session 和 JWT 的区别是什么？与 Cookie 相比呢？

3. JWT 与 Cookie/Session 的对比分析

4. Cookie、Session、JWT 到底有什么区别？一篇终于讲明白了

5. 深入解析:Cookie、Session、JWT、SSO,网站与 APP 登录持久化与缓存

6. cookie session 与 JWT

7. Session 和 JWT 的区别是什么以及与 Cookie 相比详解