Hey there! Totally get why you're worried about exposing sensitive info like usernames, passwords, and IDs in that GET URL—it's a huge security risk. Let's walk through some practical, secure fixes for this:

• 改用POST请求替代GET
  GET把所有参数直接暴露在URL里，不管是地址栏还是服务器日志都能看到，绝对不安全。换成POST的话，参数会被放在请求体中，不会轻易泄露。你可以用一个简单的HTML表单来提交报表请求，示例代码如下：

  <form action="http://192.168.13.198/jasperserver/flow.html" method="POST">
    <input type="hidden" name="_flowId" value="viewReportFlow">
    <input type="hidden" name="ParentFolderUri" value="/reports/MY_DATABASE">
    <input type="hidden" name="reportUnit" value="/reports/finance_dsc/MY_REPORT">
    <input type="hidden" name="standAlone" value="true">
    <input type="hidden" name="j_username" value="joeuser">
    <input type="hidden" name="j_password" value="joeuser">
    <input type="hidden" name="output" value="pdf">
    <input type="hidden" name="ID" value="9999">
    <button type="submit">生成报表</button>
  </form>
  

用户点击按钮提交时，所有参数都会通过请求体发送，不会出现在URL里。

• 用Jasper Server预配置数据源，避免传递数据库凭证
  看你的URL里带了登录凭证，其实更安全的做法是把数据库连接信息提前配置到Jasper Server的数据源中，让报表直接引用这个数据源。这样你完全不用在请求里传递数据库名、账号密码这类敏感信息，从根源上避免泄露。

• 先登录Jasper Server，再访问报表
  别再把j_username和j_password硬塞到URL里了！可以让用户先通过Jasper Server的官方登录页面完成认证，登录成功后Session会保存认证状态，之后访问报表时就不用再传这些凭证了。如果是自动化场景，也可以调用Jasper的API先获取会话Cookie，再带着Cookie请求报表。

• 加密敏感参数（迫不得已时使用）
  如果因为业务限制必须用GET请求，那可以对敏感参数（比如ID、自定义敏感字段）进行加密处理。比如用AES对称加密算法，把加密后的字符串作为参数传递，然后在报表的脚本逻辑里解密得到真实值。注意：密钥一定要妥善保管，绝对不能硬编码在报表或前端代码里，最好存在服务器的安全配置文件中。

优先推荐前两种方案——POST请求和预配置数据源，这两种是最直接、最安全的解决办法。

备注：内容来源于stack exchange，提问作者imstuckaf2