Akkor sem, ha SSL-es az app. Nem illendő dolog plaintext-ben jelszót tárolni, még saját appon belül sem. Olyan, hogy "de csak átmenetileg" olyan nincs, az ilyen "átmeneti" megoldások azok, amik túlélik az eredeti appot is, "átmennek" a következő teljesen újraírtba is. (Abba most ne menjünk bele, hogy szemantikailag a GET vagy a POST a helyes(ebb..).)