Прежде всего, вы должны использовать HTTPS, поскольку он гарантирует, что оба заголовка body и будут зашифрованы. Выберите сертификат, выданный центром сертификации, и держитесь подальше от самозаверяющих сертификатов.
Если то, что вы называете хеш , означает маркер доступа , то оно относится к заголовку Authorization со схемой аутентификации Bearer (см. это ответ для деталей). В качестве альтернативы вы можете использовать cookie с установленными флагами HttpOnly и Secure.
Я также советую вам рассмотреть какой-то механизм авторизации для вашего приложения: в соответствии с ролями пользователей или полномочиями извлекать данные, к которым они могут получить доступ, или отклонять запрос. Весьма вероятно, что ваш веб-фреймворк уже предоставляет какой-то механизм авторизации. Позвольте мне также подчеркнуть, что вы не должны писать свои собственные материалы, связанные с безопасностью (если вы действительно не знаете, что делаете).
Любая конфиденциальная информация (например, учетные данные, токены доступа, вы называете ее) должна никогда отправляться в URL: Запрошенный URL может регистрироваться серверами и прокси; Если URL запрашивается браузером, он попадает в историю браузера. Вы наверняка хотите избежать этого.
GET предназначен для извлечения данных, в то время как POST является своего рода перехватом всего глагола , то есть представление, отправленное в полезной нагрузке, будет обрабатываться в соответствии с собственной специфической семантикой ресурса). Если вам нужно отправить конфиденциальную информацию на сервер, я бы посоветовал вам использовать POST, отправляя любые конфиденциальные данные в полезную нагрузку, которые будут зашифрованы по HTTPS.