У меня была подобная проблема, связанная с бабушками которым было трудно объяснить что и куда вписывать :)
Я им присылал ссылку с токеном. При переходе по ссылке происходила авторизация, и вообще ничего никуда вводить не надо было.
ну коль у нас привязан телефон то проблем нет - просто генерим временный простой код, который должен быть уникальным только в пределах его действия (можно как комбинацию телефон + код). Например время действия кода - 20 минут. На эти 20 минут мы можем гарантировать что токен уникален. Токен приходит на телефон (смс-кой например) и после этого мы можем авторизовать чувака по этому токену. Все.
