Sto cercando di capire come emettere un token JWT monouso per la funzione di reimpostazione della password e mantenerlo stateless. Sono stati visualizzati token monouso w / JWT che suggeriscono fondamentalmente di includere l'hash della password corrente che a sua volta viene invalidato una volta che la password è stata cambiata con successo.
Non mi sento a mio agio tra cui l'hash della password in JWT, quindi ho ricercato un po 'e ho trovato ID JWT specifica ma che richiede di memorizzare l'ID da qualche parte in modo che possa essere verificato sulla convalida del token.
Quindi la mia domanda è: quali sono i problemi di sicurezza se includo l'attuale hash della password nel token del link di reimpostazione della password che viene inviato tramite e-mail?
È meglio usare un ID JWT e aggiungerlo come colonna da qualche parte nel database invece di usare la password?