Мне интересно, какие клиенты (программные платформы или устройства) могут подключаться к URL-адресам http: // ..., но испытывают трудности при подключении к URL-адресам https: // ...?
Вот и всеЯ действительно спрашиваю, но в случае, если вам интересно почему Я спрашиваю, вот небольшой фон:
Я строю REST (ish) API, и я мучаюсь тем, как лучше всего выполнить аутентификацию клиента.Я постоянно передумал, использовать ли:
- своего рода подход OAuth 1.0, где у каждого пользователя API есть секретный ключ, который они используют для подписи запросов API (с HMAC-SHA1 или HMAC-SHA256) отправка подписи в кодировке base-64 (но не ключа) вместе с каждым запросом;или
- подход OAuth 2.0, в котором все взаимодействие происходит по TLS / SSL, и секретный ключ каждого пользователя (или токен доступа, или как вы хотите его вызывать) отправляется вместе с каждым запросом.
Я знаю, что у каждого подхода есть свои плюсы и минусы.Ключевое преимущество варианта 2, который требует, чтобы все конечные точки API были URL-адресами HTTPS, заключается в том, что он значительно проще.Я считаю, что простота этого подхода является одной из основных причин того, что в OAuth 2.0 он используется по умолчанию.
Но это проще, если доступ к URL-адресам HTTPS не является препятствием для клиентского программного обеспечения.Вот почему мне интересно , какого рода клиентам будет нецелесообразно использовать API, который заставляет их использовать HTTPS?
Я знаю одно: веб-страницы HTTP, к которым нужно подключитьсяJSON API, использующий JavaScript, работающий в браузере.Они не могут получить доступ к любым URL-адресам HTTPS, не вызывая предупреждения безопасности браузера о смешанном контенте.
Но я уверен, что должны быть другие проблемные клиенты или программные платформы.Может быть, старые версии PHP или общие хосты, встроенные устройства, старые приложения Win32, некоторые виды программного обеспечения для промежуточного программного обеспечения для предприятий и т. Д.?(Просто некоторые возможные идеи. Я действительно не уверен, являются ли клиенты с ограниченной поддержкой HTTPS-соединений практической или теоретической проблемой.)