в зависимости от вашего веб-сервера, полный URL-адрес может быть зарегистрирован в его файлах журнала. В зависимости от того, насколько конфиденциальны данные, вы можете не захотеть, чтобы ваши ИТ-специалисты имели доступ ко всем токенам.
Кроме того, URL-адрес со строкой запроса будет сохранен в истории вашего пользователя, что позволит другим пользователям того же компьютера получить доступ к URL.
Наконец, что делает этот небезопасным тот факт, что URL отправляется в заголовке Referer всех запросов на любой ресурс, даже на ресурсы третьих сторон. Поэтому, если вы используете Google Analytics, например, вы отправите в Google URL-токен и все к ним.
На мой взгляд, это плохая идея отправки токена в теле.
Задайте свой вопрос android Разработчик отправляет токен доступа в шапке.