Én a választ nem értem... :)
Ha az api-hoz is be kell kérni a user-pass-t, akkor ez továbbra is értelmetlen. Miért tudják ott kezelni a usereket, ha az adatbázisban nem? Ennyit azért a mysql is tud.
Vagy bekérünk nevet jelszót a program felületén és akkor nem kell letárolni kliens oldalon jelszót, se api, se közvetlen adatbázis elérés esetén, vagy nem kérünk be jelszót és itt ketté válik: normális adatbáziskezelő tud authentikálni jelszó nélkül, pl kerberoson, vagy hülye adatbáziskezelő esetén le kell tárolni, akár api, akár közvetlen elérés.