Как правило не рекомендуется использовать конфиденциальные данные/секреты в URL, так как они могут быть залогированы прокси серверами.
По правде говоря, не совсем понятно, что за запрос вы вызывали, на основании скриншота из Postman, предполагаю, что это GET, следовательно ваш секрет мог быть передан только в URL.
Для корректности тестового сценария, я бы порекомендовал протестировать POST запрос с секретом в request body.
Как правило не рекомендуется использовать конфиденциальные данные/секреты в URL, так как они могут быть залогированы прокси серверами.
По правде говоря, не совсем понятно, что за запрос вы вызывали, на основании скриншота из Postman, предполагаю, что это GET, следовательно ваш секрет мог быть передан только в URL.
Для корректности тестового сценария, я бы порекомендовал протестировать POST запрос с секретом в request body.
Не понимаю за что заминусили автора