O cliente envia nome de usuário e senha para o servidor.

O servidor verifica se esse usuário está autenticado.

Se sim, o servidor retornará um token de acesso para o cliente ...

Em seguida, o usuário pode usar esse token de acesso para acessar recursos protegidos ...

A vantagem aqui é que não estamos enviando informações do usuário por meio de chamadas de API e o token de acesso não dura muito tempo, para que os hackers não consigam descobrir informações de autenticação do usuário (nome de usuário e senha) e se ele descobre que o token de acesso não vai durar o suficiente para fazer qualquer coisa com ele.

É assim que eu entendo a segurança da API do passaporte Laravel.

A coisa confusa aqui é que, na primeira chamada da API, o usuário precisa enviar o nome de usuário e a senha, para que o hacker ainda tenha uma grande chance de descobrir informações do usuário !!!

Sei que há algo errado com meu entendimento, e é por isso que fico confuso; qualquer explicação seria muito apreciada.