Не рекомендується передавати основні параметри аутентифікації в URL-адресі
Для цього є поле заголовка авторизації, перевірте його тут:
список заголовків http
Як користуватися ним написано тут:
Основна автентифікація доступу
Там же ви можете прочитати, що, хоча це все ще підтримується деякими браузерами, пропоноване рішення щодо додавання базових облікових даних авторизації в URL не рекомендується.
Прочитайте також главу 4.1 в RFC 2617 - HTTP-аутентифікація для отримання більш детальної інформації про те, чому НЕ використовувати базову автентифікацію.
Передача параметрів аутентифікації в рядку запиту
Під час використання OAuth або інших служб аутентифікації ви також можете часто надсилати ваш маркер доступу в рядок запиту замість заголовка авторизації, наприклад:
GET https://www.example.com/api/v1/users/1?access_token=1234567890abcdefghijklmnopqrstuvwxyzABCD