由於App 上是無狀態的，不像瀏覽器那樣可以常駐用戶的session 信息，所以服務端在驗證其登錄之後會向客戶端發送一個token，以後請求API 的時候將這個token 帶上，服務端就可以取得到請求該介面的使用者訊息，主要是一個使用者資訊的判別。

還有一種情況是請求服務端某個介面的權限，例如啟動綁定郵箱時的 token。
以上是我開發中遇到的實際場景，可能還有其他的作用吧，沒有太多去深究。

狀態的判別，可以儲存到 redis 中，token 作為 redis 的 key, 或者 token 本身就是可以反解出來的加密字串。

以上也是我實際開發中遇到的情況。其他的情況，再一起討論一下。

token 是為瞭如同瀏覽器的 cookie 一樣讓伺服器能識別用戶，一般登入後生成 token 返回客戶端，以後每次請求帶上 token 參數，下次登入刷新 token

PHP 的話推薦使用成熟的 jwt.io