Ну, пароль, отображаемый в запросе на вкладке сети, вполне "нормальный" - ваш API должен все-таки прочитать пароль и проверить, действителен ли он.
Еще есть парачто вы можете сделать:
- Вы определенно должны общаться через https и также можете использовать несколько дополнительных заголовков безопасности
- Вы можете хешировать пароль на стороне браузера и рассматривать хеш какбудет пароль пользователя
- Изменение хеш-функции в клиенте практически невозможно, так как для этого требуется, чтобы все пользователи обновляли свой пароль
- Вы не можете выполнить проверку надежности пароля на стороне API
- Вы можете зашифровать пароль на стороне браузера и расшифровать его в API.
- Вам по-прежнему следует хешировать пароль в своем API и НЕ сохранять зашифрованный пароль от клиента (поскольку шифрование отображается в исходном коде для пользователя)
Мне действительно не нравится вариант Hash, так как вы теряете контроль над надежностью пароля, и кто-то теоретически может использовать API и создать пользователя с паролем «Test» или чем-то подобным.
Второй подход, безусловно, поможет вам, поэтому он не виден на вкладке Сеть.Но имейте в виду, что если кому-то действительно все равно, он может найти шифрование в вашем исходном коде и все же расшифровать его в запросе, если у него есть доступ к нему