Стоит ли держать ключ доступа в одной таблице с данными клиента или как организовать?

Question

[maryaTurova]

На данный момент думаю у меня не совсем верный подход.
В данных для регистрации только значение почты, и на неё отправляется ключ доступа для API.
Для входа в личный кабинет используется почта и этот самый ключ. Ключ никак не хешируется,так как не вижу смысла при каждом запросе API (а их много) проделывать манипуляции с хешем и проверкой.Т.е. в базе всё в открытом виде.
Само API по принципу как в сервисах по решению капч (например: rucaptcha.com).
С одной стороны, даже если злоумышленник подберет логин+ключ.....ну зайдет в личный кабинет, посмотрит графики а глядишь еще счет пополнит юзеру :)).
А вот с другой, если у него будет ключ ,то это плохо.
Как правильно всё-таки организовать?
Спасибо за внимание.

Answer 1

[Rsa97]

Используйте не ключ, а долговременный токен JWT, тогда вообще ничего хранить не нужно, кроме общего открытого ключа для расшифровки подписи.