Основной причиной, без сомнения, является проблема безопасности при передаче конфиденциальных данных назад и вперед. Передача сеансового ключа означает, что, если он скомпрометирован, он имеет ограниченный срок службы для использования злоумышленником. Кроме того, если злоумышленник скомпрометировал ключ сеанса, он не сможет использовать эту информацию для запуска атаки на другие веб-сайты, с которыми пользователь может иметь учетные записи (и, вероятно, будет использовать тот же пароль).
Другая причина использования ключа сеанса заключается в том, что если пользователь изменяет свой пароль, когда вы заняты использованием API, вы не будете внезапно заблокированы.