Charles'ом ловил запросы при авторизации вконтакте и в одноклассниках.. и заметил, что на сервер они передают только логин, и еще - "s=1&m=4"(методом - GET). но суть в том, что они передают только логин.. так вот если они передают только логин, как они проверяют на правильность??
Налицо путаница в терминах. Авторизация это процесс проверки прав доступа к чему-либо. Процедура входа по логину и паролю это Аутентификация, а узнавание пользователя когда он уже прошел аутентификацию, называется Идентификация.
Так вот, для идентификации незачем снова передавать пароль. Достаточно предъявить некий идентификатор, который система выдала после успешного входа. Это может быть id_сессии или комбинация id_пользователя+время_действия+контрольная_сумма. И хранится эта информация в куках. То есть в GET или POST эти данные уже не попадают.
См. https://ru.wikipedia.org/wiki/%D0%90%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F