Cookies - данные хранятся в браузере, отправляются с каждым запросом на домен. HttpOnly, Secure, SameSite для безопасности. Session - идентификатор сессии в cookie, данные сессии на сервере (файлы, Redis, БД). Token (JWT и др.) - подписанный артефакт с данными, хранится у клиента (localStorage или cookie), сервер проверяет подпись. Stateless против stateful. Выбор: сессии для традиционных приложений с серверным состоянием, токены для API и SPA.