Почему авторизацию нельзя (или нежелательно) делать через GET-запрос?

Question

GET-запросы передают данные через URL, который легко логируется и кэшируется. Авторизационные данные могут попасть в историю браузера или серверные логи. Это создаёт риск утечки токенов или паролей. Даже при HTTPS URL остаётся видимым для клиента. Поэтому для авторизации используют body запроса.

YeaHub · Accepted Answer

Авторизация — чувствительная операция, и способ передачи данных здесь критичен.Что происходит с данными в GET-запросеПри использовании GET:данные попадают в URLURL сохраняется в истории браузераURL может логироваться прокси и серверамиURL может кэшироватьсяДаже при HTTPS шифруется только канал, но не сам факт хранения URL.Основные рискиУтечка данныхтокены в логахпароли в истории браузераслучайный шаринг ссылокКэшированиебраузер или CDN может закэшировать запросповторное использование URLНарушение семантики HTTPGET должен быть безопасным и идемпотентнымавторизация изменяет состояниеКак делают правильноиспользовать POSTпередавать данные в bodyхранить токены вне URLfetch('/login', {
  method: 'POST',
  body: JSON.stringify(credentials),
})
ВыводGET-запросы не предназначены для передачи секретных данных. Использование их для авторизации — прямой риск безопасности.