如何从Windows应用程序将用户登录到asp.net网站(通过API)

我有一个WinForms应用程序接口到一个网站。在Windows应用程序中，用户可以通过SOAP web服务登录到他们的网站帐户(用户名/密码通过HTTPS与每个web服务调用一起发送)。我被要求创建一个按钮，可以让他们在浏览器中登录网站，这样如果他们需要同时使用Windows应用程序和网站，他们就不必登录两次了。

在Windows应用程序中也有一个按钮，通过在URL中编码用户名和密码，让他们一键访问网站，这是否安全?当使用HTTPS时，我不确定URL本身是否被加密，或者只是请求/响应流量。不对称地加密用户/传递到某种登录令牌会更好吗?如果是这样，我怎么能阻止其他人简单地使用相同的令牌呢?

我真的不确定谷歌在这个问题上得到一个答案，因为改变api是相对困难的，一旦它在使用中，我宁愿做一些明智的第一次。