Я использую процесс аутентификации в стиле токенов. После того, как клиент получил токен, он либо устанавливается в куки клиента (для Интернета), либо в заголовках авторизации запросов клиента (для мобильного телефона). Однако для получения действительного токена клиент должен сначала войти в систему, используя правильную комбинацию имени пользователя и пароля. У меня вопрос такой:

Есть ли дополнительная безопасность, посылая комбинацию имени пользователя и пароля в заголовке авторизации по сравнению с параметрами в теле запроса JSON (при условии, что я использую HTTPS)?

Мне нужно только отправить комбинацию имени пользователя и пароля «один раз» за сеанс, чтобы получить токен. Получу ли я что-нибудь, делая это в стиле «простой аутентификации»?