Передача ключей API в ЗАГОЛОВКЕ или URL?

Я заметил, что некоторые API требуют передачи ключа API в качестве параметра URL-адреса, в то время как другие требуют его передачи в HTTP-ЗАГОЛОВКЕ. Я разрабатываю веб-приложение, которое будет в значительной степени полагаться на REST API, и сейчас я просто использую его, поэтому КЛЮЧ API передается как параметр URL.

Мой вопрос: является ли один из этих вариантов более безопасным, чем другой?