JWT (JSON Web Token) - компактный способ передачи утверждений (claims) между сторонами в виде подписанного JSON. Структура: Header (алгоритм), Payload (claims: sub, exp, iat и др.), Signature (подпись HMAC или RSA). Токен передается в заголовке Authorization: Bearer <token> или в cookie. Сервер проверяет подпись и exp. Не хранит сессию на сервере. Минусы: отзыв до истечения срока сложнее (blacklist или короткий TTL).