Когда вы используете https, GET и POST одинаково безопасны для атак «человек посередине», поскольку полезная нагрузка зашифрована, и никто, кроме получателя с закрытым ключом, не сможет увидеть данные.
С помощью GET посещенные URL-адреса сохраняются в истории браузера и могут также (случайно) передаваться другим пользователям (см. Также Перехват сеанса ). Поэтому я бы не передавал информацию об аутентификации в качестве параметра запроса, а использовал бы файлы cookie заголовка http или что-то, что не сохранено в истории браузера. Если вам нужно сделать это, вы должны быть уверены, что через некоторое время аутентификационная информация станет недействительной.