Какие риски вы принимаете, полностью зависит от вас. Передача конфиденциальной информации (например, токена доступа или ключа API) в URL имеет свои риски, но вы можете принять эти риски на себя.
Несколько вещей, которые приходят на ум:
URL-адреса регистрируются. Они регистрируются на промежуточных прокси, а также на сервере, который фактически обслуживает ваш API. Злоумышленник может получить доступ к этим журналам, скомпрометировав ключи API.
На самом деле не связано с безопасностью, но изменение ключа API в вашей схеме сделает недействительными все кэшированные результаты, что может оказать потенциальное влияние на производительность, если ключи часто меняются (как и должно быть, особенно если вы отправив их в URL).
Некоторые из ваших клиентов могут иметь явную политику против отправки конфиденциальных данных в URL. Это означает, что риск в вашем решении не только технический, он также имеет «сторону отношений с клиентом», если хотите.
Таким образом, вкратце, лучшая практика безопасности - не отправлять подобные ключи API. Если вы сделаете это, скорее всего, в последующем тесте на проникновение он будет признан уязвимым.
Вы все еще можете решить сделать это, и, честно говоря, это, вероятно, не то, как (если вообще) ваше приложение будет взломано. Но принятие этого риска должно быть обоснованным решением.