Пока ваша ссылка немного случайна, люди не смогут ее "угадать"; Итак, вы должны быть в порядке, я полагаю, если ваша «соль» не одинакова для всех (я полагаю, это какие-то случайные данные, которые вы генерируете для каждого пользователя?)
Может быть, у вас может быть поле «пароль» на первом шаге формы, и, если пользователи переходят на второй шаг формы по ссылке в электронном письме, они должны повторно ввести этот пароль, чтобы подтвердить, что они это знают?
Я не уверен, что это действительно необходимо, но ваши пользователи могут воспринимать это как меру безопасности (и некоторым людям нравится, когда веб-сайты, которые они используют, (или, по крайней мере, похожи) безопасный).
Еще одна приятная вещь - иметь ссылку в течение нескольких дней, может быть - если это соответствует потребностям вашего приложения.