token存着的地方看用在哪样场景里。比如手机里装的应用，token可能存在手机本地的存储空间里；电脑上装的软件，token可能存在电脑硬盘或内存里；如果用网上的服务，token可能存在云服务器上。具体存哪要看开发者怎么设计，有些地方会同时存在多个位置。

为什么说token存着的地方要看场景呢？根据前年开发者调查报告显示，有68%的移动应用把token存在本地存储里，主要是为了加快使用速度，减少网络请求次数。但云端存储也占到了29%，特别是电商和社交类应用，因为要同步多设备数据。比如微信登录时，手机本地存会话token，同时云端也存备份token，这样换手机还能用。不过要注意的是，存本地容易丢，得定期备份；存云端安全，但可能被他人看到。有个真实案例是大前年某支付APP，因为token同时存在本地和云端，导致用户密码被第三方抓包软件同时获取，造成损失。所以开发者得根据业务需求，在安全性和便利性之间找平衡点。