Требуют ли REST API пароля и входа в систему при каждом запросе?

Предположим, я разрабатываю сайт социальной сети и решаю, что я хочу, чтобы ядро ​​приложения было полностью REST'ом. Пользователь входит в систему с паролем. Теперь мой вопрос: для каждого запроса требуется пара пароля и входа в систему (при условии, что вам нужно указать свою личность) в конце URL-адреса, например www.site.com/index.php?p=pass&l=login ? Я бы немного нервничал, прося об этом при каждом запросе. Я знаю, что мне чего-то не хватает ... этого не может быть, потому что любой может перехватить пакеты, легко перехватить пароль и войти в систему. Я не думаю, что выполнение всех запросов через HTTPS имело бы смысл (я читал, что это требует больших затрат на ресурсы).

Пожалуйста, заполните недостающую часть, которую мне нужно понять.