Supponendo che il rischio possa essere un attacco MiTM tra il client Spring e il servizio REST, non è necessario che si tratti di una stringa di query o di un corpo POST. Una stringa di query verrebbe memorizzata nella cache (in un browser, server proxy, ...) che potrebbe portare alla divulgazione; ma nel complesso vorrei incoraggiare l'uso della crittografia end-to-end.
Se il client Spring garantisce che sta parlando con il giusto servizio REST (convalida cert, pinning, ...), allora puoi inviare "segreti" su tale connessione con una ragionevole garanzia di riservatezza e integrità.
Inoltre, non so quale sia il tuo valore "crittografato", se è crittografato con una chiave condivisa, quindi qualcuno potrebbe spendere abbastanza risorse / tempo per decodificarlo e ottenere il segreto. Se stai inviando dati segreti; cercare di stare lontano dalle implementazioni personalizzate; un tunnel SSL / TLS end-to-end è stato dimostrato molto solido.