一般用 token 防 csrf，但是分布式场景下生成 token 本身就是个问题，再加上同一个用户的两次请求可能会打到不同的机器上，直接用 session 也有问题。用一个单独的服务来生成 token，然后所有的 web 服务器去取？