Ну, вы, конечно, могли бы, но на самом деле не должны. Отправка информации в виде обычного текста в URL - это плохо, поскольку этот URL может кэшироваться в нескольких разных местах и, как правило, излишне раскрывать конфиденциальную информацию. Вы можете зашифровать его перед отправкой, но это, вероятно, больше проблем, чем оно того стоит.
Принятый метод использования аутентификации, основанной исключительно на URL, является своего рода токеном. Вам нужно будет пройти стандартную процедуру входа в систему, чтобы сгенерировать токен. Приложение: Также обратите внимание, что это лучше, чем вводить простой текстовый пароль в URL, но все же имеет свою долю проблем. URL-адреса более широко регистрируются, кэшируются и добавляются в закладки, чем другая информация заголовка. По крайней мере, вы сохраняете контроль над токеном и можете истечь через некоторое время, а срок действия пароля в URL-адресе просто не может истечь.
Если вы разрабатываете API, я думаю, что это достаточно разумно, чтобы потребовать некоторую процедуру аутентификации. Если ваши клиенты не могут этого сделать, предложите библиотеку или фрагменты кода, которые помогут им.