Надо добавить свойство пользователя (есть коды для сброса пароля). Сейчас получается, что после запроса сброса пароля, если обновить страницу, то форма ввода кода закрыта. Надо проверять, если у пользователя есть коды на сброс, выводить ему по умолчанию поле для сброса пароля.