El cliente envía nombre de usuario y contraseña al servidor.

El servidor luego verifica si este usuario está autenticado.

En caso afirmativo, el servidor devuelve un token de acceso para el cliente ...

Entonces el usuario puede usar este token de acceso para acceder a recursos protegidos ...

La ventaja aquí es que no enviamos información del usuario a través de llamadas API, y el token de acceso no durará mucho tiempo, por lo que los piratas informáticos no podrán encontrar la información de autenticación del usuario (nombre de usuario y contraseña), y si él descubre que el token de acceso no durará lo suficiente como para hacer algo con él.

Así entiendo la seguridad de la API de pasaporte Laravel.

¡Lo confuso aquí, es que en la primera llamada API, el usuario tiene que enviar el nombre de usuario y la contraseña, por lo que el hacker aún tiene una gran oportunidad de averiguar la información del usuario!

Sé que hay algo mal con mi comprensión, y por eso me confundo, cualquier explicación sería muy apreciada.