Boa tarde!
Minha dúvida é qual a melhor maneira de proteger a API por meio da autenticação, porém gerando um token que será consumido por um serviço front-end. No caso, a autenticação do usuário será feita pelo front-end que ira consumir a API.
O exemplo do curso acredito que foi para um usuário dentro da aplicação, que inclusive consta no banco de dados. Como liberar um token apenas para proteger a aplicação de ser consumida por alguém 'indesejado'?