あなたの言う通りです：従来のWebプロジェクトではセッション/クッキーを使用し、フロントエンドとバックエンドが分離されたインターフェースプロジェクト（RESTful API）ではJWTを使用する必要があります。核心的な理由はアーキテクチャが変わったから——従来はサーバーサイドレンダリングのページでしたが、現在はフロントエンドが独立し、インターフェースが状態レスです。

私は最も一般的で核心的な方法で、両者の違いを明確に説明します：

1. ブラウザのログイン → サーバーセッションを生成しメモリ/データベースに保存
2. サーバーはSessionID存在するCookieを返す
3. 次のリクエスト → ブラウザが自動的にCookieを送信 → サーバーがセッションを検索して認証

• 強くCookieに依存：クロスドメイン、小程序、アプリ、サードパーティの呼び出しに制限
• サーバーは状態を保存しなければならない：分散型 / 複数サーバーでセッション共有（Redis 同期）
• の前後でフロントエンドとバックエンドの分離が不親切：フロントエンドは純粋なクライアントで、ブラウザが自動的に Cookie を持ってこない

したがって：インターフェース認証は「サーバーで状態を保存する」方法を捨てる必要がある → JWT が登場

JWT = JSON Web Token

一言で言えば：ユーザー情報を暗号化して文字列にし、クライアントに保存し、サーバーはログイン状態を一切保存しない。

動作フロー：

1. ログイン成功 → サーバーがキーで JWT を発行（データを一切保存しない）
2. フロントエンドはJWTをローカルに保存（localStorage / 小程序キャッシュ）
3. 各リクエスト → フロントエンドJWTをリクエストヘッダーに手動で追加
4. サーバーサイドは鍵を使ってJWTの合法性を検証のみ、データベース検索は不要

• セッションサーバーはあなたがログインしたことを覚えておく必要があります（状態を持つ）
• JWTサーバーは誰も覚えない。トークンのみを認識する（ステートレス）インターフェースのアーキテクチャはステートレスである必要があり、そのためJWTは標準です

• セッション：サーバーに存在します
• JWTは存在しますクライアント側で自分で持っている

• セッション：サーバーが多いほど面倒になる
• JWT：サーバーを好きに追加し、コードを変更する必要が全くない

1. Cookieに依存しない、クロスドメイン、小程序、アプリともにサポート
2. サーバーでログイン状態を保存しない、分散/クラスタリングで自由に拡張可能
3. 標準的で一般的、すべてのフロントエンド/バックエンド分離アーキテクチャで使用
4. セキュアで管理可能、有効期限を設定したり、暗号化したり、改ざん防止が可能

• Session/Cookie：伝統的なウェブサイトに適しており、サーバーで状態を保存し、ブラウザに依存
• JWT：インターフェース認証に適しており、状態レス、クロスデバイス、分散システムに親和性が高い