Acaba que ficou assim, indiretamente.
eu não estou armazenando o token em sim, mas eu mapeio o dispositivo e gero um pass, que armazeno no token e, no servidor, armazeno o rash.
o que faço a cada requisição é validar este rash.
se o token invalidado (por exemplo, o usuario desconectando dispositivos, este rash já não será mais válido)