Это нужно для реализации OTC (One-time code) ? Типа кода через СМС или мессенжер, действительный в течение 5 минут?
Учтите ограниченность «ёмкости» кодов из всего 4 символов. Если вдруг весь Китай ринется регистрироваться у вас, кодов не хватит. Помимо кода, наверняка стоит использовать что-то ещё, например, куки, переменную сессии. Иначе можно ввести любые 4 символа – и, может, повезёт — войдёшь под чьим-то аккаунтом.
Один из вариантов «в лоб» – держать таблицу всех возможных кодов: «код – timestamp». Не такая уж и большая. Из неё легко выбирать случайный код с timestamp'ом более X минут назад. Ставить ему текущий таймстемп и его же прописывать юзеру для входа.
