Estou usando um processo de autenticação no estilo de token. Depois que o cliente obtém um token, ele é definido nos cookies do cliente (para Web) ou nos cabeçalhos de autorização das solicitações do cliente (para celular). No entanto, para obter um token válido, o cliente deve primeiro "efetuar login" usando uma combinação válida de nome de usuário / senha. Minha pergunta é esta:

Existe alguma segurança adicional enviando a combinação de nome de usuário / senha no cabeçalho da autorização e como parâmetros no corpo JSON da solicitação (supondo que eu esteja usando HTTPS)?

Eu só preciso enviar a combinação de nome de usuário / senha "uma vez" por sessão para obter o token. Ganho alguma coisa fazendo isso no estilo "autenticação básica"?