Piszę na Symfony proste API z autoryzacją, podpatrzyłem różne tutoriale i właściwie nie mogę skumać, czemu jeden korzysta z JWT by wygenerować długi token w którym zahashowane jest username, zamiast wygenerować sobie jakiś losowy klucz md5.
Czy JWT daje jakieś lepsze zabezpieczenie obok trzymania np. apiKey przy userach w tabeli i przesyłania tego właśnie apiKey które user poznaje po zalogowaniu jako jeden z nagłówków?
Dla mnie obie metody wymagają bezpiecznego połączenia, inaczej są równie podatne na ataki.
Jak to się robi the right way? Jakie są zalety JWT? To naprawdę proste api (kilka zasobów), ale dane dość wrażliwe.