手机App验证码一般放在服务器端什么地方？为什么？

session
原因，验证完这次就可以丢弃。符合验证码的特性
session存在服务端有时间限制的，按时就会删除。

session中，当然放在数据库和非关系数据库中也可以

第一个问题：

如果是常用的功能，建议在用户表中专门设置一个 Access_Token字段， 可以用来放如下信息：

1.忘记密码--邮箱找回密码验证码；
2.手机验证码；
3.其他验证信息；

这样的设计更简单灵活，唯一要注意的是业务的互斥。

第二个问题：

Session默认存储为文件，可以放入数据库和NoSQL，建议当然是Redis，因为访问速度快。
即使将来设计 REST接口，Appid 和 Access_Token ，这些密钥信息，也建议直接放入 Redis。

redis，访问快，服务器端支持的也好。

个人建议redis

个人觉得对于APP接口这种RESTful架构还是尽量避免使用session吧。
而且这块并没有很大压力，数据库基本都能搞定，Redis也行。

以上。