Генерируйте ссылку на сервере допустим id юзера в bcrypt формате обрезаный на половину и заносите сразу этот код в бд, и статус ссылки можно отдельным полем, можно через двоеточие.
dsf23$fd:false/true
Следом создайте страницу на которую будет вести ваша ссылка, в параметры url передавайте тот самый шифрованный id, если всё ок, выводите кнопку подтвердить, всякие плюшки типа смайлика и приветствия - если ссылка уже true допустим, выводите мол ваш аккаунт уже активирован, бегите отсюда. по итогу ссылка должна быть подобной:
my-app.com/dsf23$fd
Дальше скрипт берёт ссылку из url, делит строку на массив по : и в итоге у вас массив из двух элементов для соответствующих проверок.