Gostaria de conhecer as práticas recomendadas para invalidar o JWT sem pressionar db ao alterar a senha / logout.

Eu tenho a idéia abaixo para lidar com 2 casos acima, acessando o banco de dados do usuário.

1.Em caso de alterações de senha, verifico a senha (com hash) armazenada no banco de dados do usuário.

2.Em caso de logout, economizo o tempo do último logout no banco de dados do usuário; portanto, comparando o tempo de criação do token e o tempo de logout, posso invalidar esse caso.

Mas esses dois casos têm o custo de atingir o banco de dados do usuário sempre que o usuário acessa a API. Qualquer prática recomendada é apreciada.

ATUALIZAR: Eu não acho que podemos invalidar o JWT sem pressionar db. Então, eu vim com uma solução. Eu postei minha resposta, se você tiver alguma dúvida, seja bem-vindo.