Po pozytywnym dokonaniu płatności (otrzymane potwierdzenie z API etc.) tworzysz unikalny link, na który przekierowujesz użytkownika. Po jednorazowym użyciu linku usuwasz link z bazy/zmieniasz flagę etc. i robisz go nieaktywnego (czyli wejście pod ten sam link drugi raz nie spowoduje żadnej akcji)