问如何在Node.js中正确实现“忘记/重置密码”功能？(使用一个时间标记)

EN

我正在使用NestJ实现Node.js应用程序中的忘记/重置密码功能。

这就是一般的流程：

1. 用户在电子邮件中输入“忘记密码”表单并提交请求。
2. 服务器生成一个带有用户ID的jwt令牌作为有效负载，然后发送一封以令牌为链接的电子邮件来重置密码(例如: GET：example.com/reset/generated_jwt_token)
3. 用户单击电子邮件中的链接，呈现重置密码页面，他用新密码填充表单，并以密码作为主体提交表单(例如: POST：example.com/reset/generated_jwt_token)
4. 服务器验证令牌(未过期+来自有效负载的用户ID存在于DB中)并更新密码。

这种方法的主要问题是，可以无限地使用jwt令牌来重置密码(直到它在X分钟后过期)。

有办法解决这个问题吗？有人说，将当前密码的散列作为有效负载，因为它无论如何都会被更改，并保证一次使用，但我不喜欢这种方法。

编辑:我遇到的另一种方法是在jwt令牌的DB中创建一个黑名单集合，不能超过一次使用。或者在redis中使用缓存也是同样的方式，但它似乎没有很好的可伸缩性。