Dane logowania jako path parameters vs body

Hej,

Tworzę logowanie przy użyciu JWT i przy implementacji filtra który rozszerza UsernamePasswordAuthenticationFilter zacząłem się zastanawiać czy dane logowania (username, password) lepiej jest przekazywać w parametrach czy w body? Domyślna implementacja UsernamePasswordAuthenticationFilter z tego co widzę spodziewa się parametrów więc strzału host:port/login?username=x&password=y , ale nie jestem pewien czy to jest ok, czy nie lepiej wysyłać tego w body i wyciągać z HttpServletRequest w tym filtrze?

Wg tego co wiem, JWT nie ma NIC do "pierwszego logowania" (autentykacji).
A "drugie" i kolejne to już nie "logowanie" (autentykacja), tylko autoryzacja. JWT tu się może przydać, ale po co hasło?
Więc raczej przedstaw swoją ideę / problem jaśniej

Można w nagłówku Authorization (basic authentication: https://swagger.io/docs/specification/2-0/authentication/basic-authentication/ ), można też jako query paramsy (request o token: https://www.oauth.com/oauth2-servers/access-tokens/password-grant/)

Ja tylko pragnę zauważyć że akurat ścieżka URL jest publiczna nawet po https (nie jest tak źle, ale już przeglądarka może ci zapisać URLa w historii, razem z hasłem w tym przypadku), wiec absolutnie nie wolno tam umieszczać wrażliwych danych. Tylko w headerach albo body!