Является ли это, что после успешного входа в систему сервер генерирует токен безопасности и отправляет его клиенту, а клиент отправляет его обратно для каждого последующего запроса?
Если выше верно, где токен безопасности хранится на сервере? База данных? (Помните: нет сессии).
Ehrm. Отправлять клиенту токен, который будет отправляться обратно при каждом последующем запросе, только для получения информации, связанной с этим токеном, из базы данных на стороне сервера? Это называется сеансом. Это именно то, что делают PHP-сессии, кроме хранения информации в файле, а не в базе данных. Вы воссоздаете сессии.
Во всяком случае, я думаю, что мантра "нет сессии, нет состояния" переоценена и не очень практична. Я думаю, что более чем нормально хранить простой файл cookie, содержащий токен, чтобы вы могли идентифицировать пользователя и связать (некоторые) данные с этим пользователем. Во всяком случае, я думаю, что не важно сохранять состояние приложения (например, что пользователь сделал ранее и что он делает сейчас) - это самое важное.