Если вы используете https, все уже зашифровано. Предполагая, что для доступа к вашему приложению существует какая-то аутентификация, я бы, вероятно, просто передал параметры в API Okta (возможно, с некоторой проверкой, чтобы избежать отправки известных неверных запросов).
Это помогает?