Согласно спецификации oAuth, раздел 11.3 ,
Хотя OAuth предоставляет механизм для проверки целостности
запросы, это не дает гарантии конфиденциальности запроса. Если не
дальнейшие меры предосторожности, подслушивающие будут иметь полный доступ к
запросить содержание. Поставщики услуг должны тщательно рассмотреть виды
данных, которые могут быть отправлены как часть таких запросов, и должны использовать
механизмы безопасности транспортного уровня для защиты конфиденциальных ресурсов.
Понятно, что если в вашем запросе нет защищенных данных, например, user_id = 2 & messageId = 33, то в https нет необходимости, но в двухстороннем сценарии, где вы передаете пароль при получении токена доступа, вы должны иметь использовать https в то время.
В обоих случаях, как на 2-х, так и на 3-х ногах, правило таково: когда вы обновляете / извлекаете защищенные данные (например, обновление кредитной карты, платежи, пароли), вам необходимо использовать https.