El password ya esta guardado en la base de datos, es lo que se usa para comprobar que usuario es, y lo de propagar por url como puedes ver casi nadie lo usa es un metodo muy engorroso para mi gusto.