Почему не желательно отправлять конфиденциальные данные через GET запрос

А, слушай, тут такая история с GET и POST запросами, просто ёперный театр! Представь себе: GET-то — это как если бы ты пошёл в магазин и на весь район кричал, что тебе нужно купить презервативы, сметану и журнал «Плейбой». Всё это летит прямо в URL, который потом болтается в истории браузера, в логах какого-нибудь сервера, и любой, кто посмотрит в инструменты разработчика (этот вкладку «Network»), всё как на ладони увидит. Полный пиздец для конфиденциальности.

А POST — это уже поумнее. Он данные в теле запроса прячет, как хитрая жопа. Безопаснее, конечно, овердохуища. Не светит всё направо и налево.

Вот смотри, какой кошмар может быть, если не думать головой:

// Это пиздец как небезопасно — пароль прямо в URL светится!
val url = "https://api.example.com/login?user=test&password=12345"

Представляешь? Ты так сделаешь, а потом этот URL в логах прокси-сервера осядет, или в аналитику Google Analytics утечёт. И всё, твой пароль «12345» теперь знает пол-интернета. Доверия к такому коду — ноль ебать.

А вот как надо, по-человечески:

val request = Request.Builder()
    .url("https://api.example.com/login")
    .post(FormBody.Builder() // Вот тут уже POST, молодец!
        .add("user", "test")
        .add("password", "12345") // Это уже в теле полетит, не в URL
        .build())
    .build()

И да, ёпта, это ещё не всё! GET-параметры всякие промежуточные прокси-сервера могут закэшировать. И потом твой логин с паролем будет валяться в кэше какого-нибудь корпоративного шлюза. Удивление пиздец, когда узнаешь.

Так что запомни, чувак: для всего, что хоть чуть-чуть секретное — логины, пароли, номера карт, интимные фото кота — только POST (или PUT) и обязательно поверх HTTPS, чтобы ещё и по дороге не перехватили. А GET оставь для всякой ерунды, которую не жалко, типа ?page=2 или ?search=котята. Э, бошка, думай! Не будь распиздяем.