Les problèmes spécifiques sont liés aux demandes GET pour l'authentification, où les informations d'identification de l'utilisateur sont envoyées en texte brut en tant que paramètres de requête à l'URL. La plupart des serveurs Web enregistrent le verbe et l'URL pour toutes les demandes. Ainsi, lorsque les informations d'identification font partie de l'URL, elles apparaissent dans le journal du serveur Web. En revanche, les requêtes POST envoient généralement les données dans le corps de la requête, de sorte qu'elles ne s'affichent pas dans les journaux du serveur Web, car la configuration de journalisation standard n'enregistre pas la charge utile des requêtes. Cela dit, même si vous passez à l'utilisation de POST, un administrateur peut toujours configurer le serveur Web hôte pour enregistrer la charge utile de chaque requête.
Et pour répondre à votre question spécifique - non, il n'y a aucun moyen d'empêcher les informations d'identification de l'utilisateur d'être consignées par le serveur Web, si elles font partie de l'URL de la demande. Cependant, vous pouvez (et devriez) changer votre code pour au moins ne pas envoyer les informations d'identification en texte brut, mais au moins les hacher avec un hachage généré par votre service web au début de la session en cours (et mettre un cookie pour Exemple). Étant donné que les cookies ne sont pas connectés sur le serveur et que le hachage change entre les sessions, il est impossible pour quelqu'un d'extraire les informations d'identification du fichier journal uniquement. Sur une note de côté, vous devez également modifier votre service pour décider du format de réponse en fonction du type de contenu accepté spécifié dans la demande, au lieu du verbe de requête.