@future0906 您提到的“ stateless 是对 HTTP 层来说的”这点理解了，但是不能将这个 Token 放在 session 中实现 fail-over 这块还是不怎么明白，烦请再帮忙讲一下。

可不可以只在用户的 SESSION 作用域中保存一份唯一的 Token ，再次请求 Token 的时候就生成并覆盖 SESSION 中这个 Token 。同时保证每次拦截认证都是从 SESSION 获取这个唯一 Token ？

@Koyoter 可能是误解了，并不是讨论 Token 绑定用户的问题，同一用户同一 IP 同一 MAC ，在同一时刻生成了多个有效 Token 。

@caixiexin mcfog 11 楼和 xxxyyy 14 楼的回复是很精僻的， Token 本身是不需要状态的，但是限定了它在一段时间只有唯一实例，就是产生状态了，一旦产生了状态了就成了“ SESSION ”

@xxxyyy 是是是，感谢众高手们的指点，是我误用 JWT 了，我确实是需要带“状态”的 Token 。

@mcfog 受教受教！！ JWT 和 Session 关于状态果真是矛盾的。其实我现在的方案中是在借用了 JWT 生成 Token 的功能而已，完全没有使用它无状态的特性。我只是享受到了一个确定草案的开源实现而已……如您所言，我完成可以自己实现一个约定，能解密调用者传递来的 Token ，解析出我想要信息，并保证 Token 唯一就可以了。

@Herobs 对对，我就是看到了很多关于 JWT stateless 方面的介绍才来求助的。如果不考虑泄漏的情况，只是不希望用户有多个 Token 同时可用，是不是我现在的这个问题就限制在必须是有一个“中心”了呢？

@xxxyyy 是希望保证让一个用户在一段时间内只有一个 Token 是有效的。

@xxxyyy 感谢回复，我现在就是这么做的呢，依赖于 Redis 的 TTL ，过期了就会把那个 Token 自动的删除，如果 Token 不存在了就不准调用。关键的问题还是这个 Token 要保存的问题，是不是我的这个情景里是必须要在服务器保持一份 Token 呢？

@ty89 纠结之处在于好多资料上说， JWT 生成 Token 是不应该放在服务器端保存起来的，但是不记录它的状态怎么能知道它只有一份呢？

@Clarencep 哦哦哦。了解了，这种属于应该操作失误吧。不知纠结一是不是可以给些指点？想保证唯一 Token ，应该怎样搞……