Liệu em có đang suy nghĩ phức tạp quá không nhỉ? Về tính năng subscribe này trước đây anh làm thì chỉ đơn giản là tạo ra 1 bảng để lưu danh sách những thằng subscribe kiểu:

table subscriber {
  email varchar,
  unsubscribe_token varchar 
}

còn nếu của em là user có sẵn và chỉ phục vụ user có sẵn thì có thể thay email bằng user_id. unsubscribe_token thì là 1 chuỗi uuid random là được em ạ, hoặc em có thể sử dụng jwt token (với userId và thời gian hết hạn ở payload) cho cái token đó cũng ok. Cách này sẽ tách biệt với authenticated token của user, vì vậy ngay cả khi token này bị lộ thì cũng không có rủi ro bảo mật gì xảy ra cả.

Khi gửi mail thì kèm link kiểu: https://example.com/unsubscribe?token=xxxx.Hoặc là tạo html form cho nó submit dạng post lên server với cái token kia, nếu tìm thấy subscriber với token thì xoá đi bản ghi là xong em ạ.

Nếu chưa đúng ý mà em muốn hỏi, em có thể chỉ giúp anh xem anh trả lời chưa đúng ý nào em nhé.