md5 kullanmayın artık kırılıyor,
sha256 kullanabilirsiniz , kullanıcı adı + şifre + salt(anlık saat dk olur,random karakterler olur aklınıza ne gelirse sadece sunucunun bilebileceği bir key olacak,bir nevi private key) ile token oluşturun ister kullanıcı tarafında localstorage a ister sunucu tarafında olarak kayıt edip kullanabilirsiniz.
Localstorage a kayıt edecekseniz her istekde bu keyi de göndermeniz gerekecek.

Yada hiç uğraşmayın hazır kütüphaneler var https://jwt.io/libraries