Инвалидация токена авторизации

Есть ASP.NET MVC приложение, которое предоставляет сайт и некоторое rest api. В приложении используется asp net identity 2. Для авторизации на сайте исползуется типичная связка логин\пароль, данные об авторизации хранятся в кукисах. Если изменить адрес электронной почты из личного кабенета пользователя, то после подтверждения адреса пользователь на сайте ничего сделать уже не может, т.е "приватная" часть сайта ему просто не доступна, для получения доступа необходимо авторизоваться под новыми учетными данными. Для API используются токены. И если изменить имейл, то система не может найти пользователся по старому токену, а при запросах к API выкидывает с ошибкой 500 Internal Error (ресурсы API не могут найти данные в пользовательском контектсе). Вопрос в том, можно ли с подтверждением почтового адреса инвалидировать старый токен? Что бы при запросах к API вместо серверной ошибки возращался код 401.