wenn das Kennwort in der URL übertragen wird

Das darfst du nicht machen. Verwende ein TLS-Clientzertifikat. Alternativ setze HTTP-Authentifizierung mittels WSSE ein. Alles andere ist leider untauglich für die Anforderung.