公司的 mobile app 是外包给其他公司做的，所以现在他们需要我们提供 API 接口进行调试，由于没有 API 开发的经验，所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。
搜集了一些资料，大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。
这里有两个问题，首先这样直接生成 token 进行认证的安全性。其次，生成的 token 应该怎么保存呢？存在 DB 里面还是哪个地方？(服务器端使用的是 php)

因为本身产品对安全性要求不是特别高，远没有达到网银之类的需求，所以在不考虑使用 oauth 等授权协议基础上，我比较希望知道一些常用的身份验证机制，以保证基本的安全性即可。

再把问题写清楚点：
1.怎么生成安全性比较高的 token。
2.token 需不需要设置过期时间（考虑到是 mobile app，所以这个比较难设计，因为很少
有人会在 app 上会 log out 再重新登录）。
3.token 除了存在 db 内，有没有一些更方便合适的方式。