Какой HTTP-метод использовать для получения токена авторизации (логин + пароль)?

Для получения токена авторизации по логину и паролю обычно используется HTTP-метод POST.

Это связано с тем, что передаются чувствительные данные (логин и пароль), которые не должны попадать в URL (как при GET), а также с тем, что запрос изменяет состояние — сервер создаёт сессию или выдаёт токен.

Пример запроса:

POST /auth/token HTTP/1.1
Content-Type: application/json

{
  "username": "user",
  "password": "pass"
}

В ответ сервер возвращает токен, который клиент будет использовать для последующих запросов.