Подтверждение email пользователя через API

Разрабатываю API для мобильных клиентов на Laravel. В качестве аутентификации пользователя использую Laravel Passport и выдаю им Personal Access token при логине в систему.

Не могу придумать, как реализовать систему подтверждения email (моб. телефона - не важно) при регистрации пользователя. Необходимо, чтобы подтверждение происходило с помощью четырёхзначного числа - кода.

Традиционно сайты высылают письмо с кодом активации после отправки регистрационной формы и только после этого активируют учетную запись. Насколько я понимаю, в этом случае запись о пользователе в БД уже будет существовать. Соответственно, пока пользователь не подтвердит ее, теоретически возможно, что за это время придёт другой человек и захочет создать учётку с таким же ящиком. И тут в базе возникает 2 неактивированных записи. Рано или поздно, один из пользователей активирует аккаунт, тогда что делать со вторым? Разумеется я понимаю, что код активации временный, но эту проблему он не решает.

Мне такой подход не очень нравится. Хотелось, чтобы запись о пользователе создавалась только после того, как он подтвердил пароль и зарегистрировался. Как в таком случае устроить логику на сервере и общение с клиентом?

Я примерно надумал следующее:

1. Пользователь вводит свой email
2. Мобильный клиент отправляет в API пользовательский email
3. API создаёт запись в отдельной таблице, где есть соответствие email - код
4. API отравляет на почту пользователя письмо с кодом
5. Пользователь вводит код в поле подтверждения email и заполняет прочие поля формы регистрации
6. Мобильный клиент отправляет все пользовательские данные в API вместе с кодом
7. API в отдельной таблице (users) создаёт учётку пользователя

Насколько безопасен такой подход и какие есть минусы? Что посоветуете?