Security 避免SAP OCI punchout参数中的纯文本密码

当使用SAP的OCI punchout时，连接到供应商系统似乎首先点击一个URL，该URL包含作为纯文本参数的供应商系统的用户和密码。有没有办法让这更安全？即使使用了https，用户和密码也可以在日志等中看到

---

似乎可以加密密码（和用户名）。这不太好，因为有人可以重用它，但最好是将密码保留为纯文本。这样做了吗？SAP支持它吗？人们使用的其他方法解决这个问题吗？

通常的做法是将用户名和密码参数作为帖子正文的一部分发送，这样它们就不会出现在URL中。在传输过程中使用HTTPS将加密密码

---

但是，这仍然不安全，因为POST请求是从最终用户的浏览器发送的，因此凭据将向最终用户公开。此处的更多信息：

我简直不敢相信，但似乎即使在2017年，SAP OCI punchout的常见做法仍然是将用户和密码作为查询参数传递。。。