Cuando un usuario olvida su contraseña, pide recuperacion en un simple formulario que pide el mail.

Al enviar el formulario, crearás un token que se lo envias al usuario al mail y lo almacenas en tu base de datos.

el usuario recibiría algo como:

recuperar.php lo que hará será verificar, si en tu tabla "recuperaciones" existe registro de que el mail X haya pedido su contraseña, de ser así, le permitis ir a un formulario el cual cambie la contraseña del usuario. Espero haber sido masomenos claro cualquier cosa preguntá.