采用 Tokens 认证的接口如何保证服务端和客户端的一致性

标题不是很明确, 请看描述

最近正在用spring boot + Vue.js 撸一个 web 应用, 想省点事将web和app共用一个后台, 用户认证部分采用服务端生成 tokens 的方式实现. tokens 参照 jwt 标准生成. 遇到两个问题不知道怎么解决

1. 在服务端生成 token 时设定超时时间, 用户在超时范围内一直在不间断使用的话, 到了超时的时候服务器要不要为客户端生成新的 token, 并且服务器如何确定是真的客户端在使用, 而不是其他人通过网络手段获取某客户端的 token 从而一直在使用
2. 客户端主动退出登录, 之前的 token 对于服务器来说, 只要在超时范围内就一直生效, 如何在服务端禁用

暂时应对方法:

1. 忽略, 超时就是超时
2. 在 server 端生成 jwt 时有一个 jti 是其唯一身份标识, 缓存该标识, 收到客户端退出请求时, 通过 jti 对 token 处理, 但是这样的话就得在 server 端存储 token 部分信息, 就感觉和 session 做认证差不多了, 有没有其他解决方式