Estoy creando una nueva capa de servicios para una aplicación móvil existente. La aplicación móvil se autentica con la capa de servicios existente al proporcionar el nombre de usuario y la contraseña como parámetros de URL en una solicitud de obtención al punto final de autenticación. Todo esto sucede sobre ssl.
Inicialmente pensé que esto era inseguro, pero esta publicación parece sugerir que no es insegura en la capa de transporte SSL con GET y POST . La única preocupación es cómo la solicitud es registrada por el servidor. Dado que estoy escribiendo el lado del servidor y puedo controlar el registro, es algo de lo que debería preocuparme. ¿Debo insistir en que el equipo de la aplicación cambie al cliente para que envíe una solicitud de publicación para proteger mejor la contraseña, o es innecesario?