Здравствуйте, zverjuga, Вы писали:

Z>потому что это веб-сервис, и все запросы требуют токен пользователя.

Если вы для валидации токена ходите в базу, вы явно что-то делаете не то. Есть же JWT. Ходить в базу надо только один раз при выписывании токена, а дальше только расшифровывать токен, проверять его подпись и атрибуты и для всего этого БД не нужна.