Trong môi trường microservice thì sẽ có nhiều server, cũng vẫn có thể sử dụng được session tuy nhiên sẽ phức tạp hơn, giả sử user cần logout khỏi tất cả các thiết bị thì nếu chỉ có server thì chỉ cần xoá cái session là xong, nhưng trong môi trường nhiều server thì lại phải thông qua Kafka hoặc MQ để từ cái server nhận được request logout sẽ phải thông báo cho tất cả server còn lại để xoá session, và thực tế thì lưu session cũng sẽ tốn bộ nhớ nữa, cứ giả sử 1 session sẽ tống 1KB thì 1 triệu session sẽ mất 1GB.

Nếu sử dụng jwt token thì sẽ không cần dùng đến session nữa, vì jwt có thể lưu được thông tin user như userId, username, email và xác thực thông qua chữ ký số. Và khi user gửi token lên server thì không cần phải vào DB để lấy các thông tin như userId nữa vì trong token đã có luôn rồi. Tuy nhiên có 1 nhược điểm là jwt nó bị fix thông tin, nghĩa là giải sử token lưu là hết hạn vào ngày xyz thì server sẽ phải chấp nhận ngày này, thêm 1 nhược điểm nữa đó là do được ký và xác thực bởi server, nên 1 khi bị lộ public key (ví dụ ai đó trong đội DevOps nghỉ việc và copy theo) thì hoàn toàn có thể làm giả được jwt token.