Estoy intentando averiguar cómo emitir un token JWT de un solo uso para la función de restablecimiento de contraseña y aún así mantenerlo sin estado. Encontré Tokens de uso único con JWT , lo que básicamente sugiere incluir el hash de la contraseña actual, que a su vez se invalida una vez que la contraseña se cambia con éxito.
No me siento cómodo incluyendo el hash de contraseña en JWT, así que investigué un poco y encontré ID de JWT especificación pero eso requiere almacenar el ID en algún lugar para poder verificar la validación del token.
Entonces, mi pregunta es, ¿cuáles son los problemas de seguridad si incluyo el hash de contraseña actual en el token de enlace de restablecimiento de contraseña que se envía por correo electrónico?
¿Es mejor usar un ID de JWT y agregarlo como una columna en algún lugar de la base de datos en lugar de usar la contraseña?