使用 REST API 和 OAuth，在没有 HTTPS 连接的情况下发送数据有多不安全？

Question

我想使用 OAuth 协议为我的 Web 服务实现 REST API。但是我注意到您必须通过互联网发送数据，为用户提供正确的权限。

自发产生的问题是：在没有 HTTPS 连接的情况下发送数据有多不安全？

Answer 1

任何未通过 https 发送的数据都适合由 Web 服务器和最终客户端之间的某些第三方路由器收集。

顺便说一句，您可以将 HTTPS 与 RESTful 服务一起使用。

Answer 2

在没有 HTTPS 的情况下使用 OAuth 1.0 或 1.1 很可能是不安全的（尽管之所以采用这种方式是因为在获取令牌和授权时采取了额外的预防措施），但使用 OAuth 2.0（Facebook 和当今大多数东西使用的 OAuth 2.0）如果完全不安全并且实际上违反了 OAuth 2.0 规范，

则应通过 HTTPS 连接使用和访问。