问基于令牌的身份验证和可伸缩性？幻觉？

EN

我刚看了基于令牌的身份认证的国内外研究。它声称可伸缩性是server based Authentication的主要问题，因为服务器必须在本地存储会话。提示token based authentication是一种治疗方法。

但真的吗？

身份验证只是可能导致可伸缩性问题的地方之一。只要在服务器端存储任何特定于用户的状态信息，无论它存储在会话作用域还是web应用程序范围，都会导致可伸缩性问题。说单靠token based authentication可以解决可伸缩性问题是过分夸张的。有太多的其他因素是更强大的因素。仅仅因为基于令牌的身份验证是无状态的，并不意味着整个服务器可以是无状态的。

让我们以JWT为例，以JWT的定义为例

JSON Web令牌(JWT)是一种开放标准(RFC 7519)，它定义了一种紧凑和独立的方式，用于在各方之间以JSON对象的形式安全地传输信息。可以验证和信任此信息，因为它是数字签名的。

我认为JWT不适合在身份验证数据之外存储状态信息。因为JWT存储的一般合理位置都有较小的大小限制，例如HTTP头、Cookie。

你同意吗？有人能弄清楚这件事吗？