Нужна ли авторизация (не явная) в API на php?

Передо мной поставили задачу. Написать на API к простому приложению на php реализованного по паттерну MVC и без применения какого-либо frameworks. Реализовал я его так:

• Добавил контроллер - ApiController;
• Добавил модель - Api;
• Добавил маршруты /api/Equipments, /api/Personal, /api/AddProject;

Далее я функцией file_get_contents() получаю входящие данные:

$inputJSON = file_get_contents("php://input");

А теперь вопрос. Правильно ли передавать в JSON логин, пароль (не хэш) и токен чтобы потом отдать данные которые относятся только к этому пользователю?

Пример проверки:

if(!array_key_exists('login', $user) || empty($user['login'])) throw new Exception('отсутствует или пуст ключ login');
if(!array_key_exists('password', $user) || empty($user['password'])) throw new Exception('отсутствует или пуст ключ password');
if(!array_key_exists('token', $user) || empty($user['token'])) throw new Exception('отсутствует или пуст ключ token');

Пример JSON:

{
   "login":"test",
   "password":"test1542",
   "token":"905bde212dcb5f2bb146f5d653166cd1"
}

Всё реализовано без использования Json Web Token OAuth2. Отсутствие данных технологий сильная дыра в безопасности?