主题：关于token

 关于token验证的理解，有点疑惑。
服务端以（例如用户名+密码）生成一个加密的字符串作为token发送给客户端，客户端请求的时候携带token，此时服务端应该如何验证？
1.解析token获取用户名和密码，然后去数据库查验是否存在该用户名和密码一致的记录？
2.服务端生成token的同时，将其保存在本地数据源或者setconfigeValue，然后校验的时候去本地数据源或者getconfigeValue查询是否存在
3.token的有效期应该是怎使用，比如设置有效期一个小时，那就是应该把创建时间也带入token中，如果是采用存储的方式，是不是用计划管理定时清除过期的token记录？