Все, что вы передаете через Интернет без использования SSL / TLS (или эквивалентной системы для шифрования / защиты конфиденциальности передаваемой вами информации), должно считаться полностью скомпрометированным и видимым для всех.В вашем случае это будет включать имена пользователей, пароли и токены сеансов, которые могут позволить злоумышленнику узнать ваши комбинации UN / PW, чтобы они могли выдавать себя за пользователей на длительный срок, и токены сеансов, чтобы они могли действовать как зарегистрированный пользователь..
Вам нужно защитить это?Абсолютно рискованное решение.Каков уровень секретности ваших данных?Каковы будут последствия, если этот компромисс случится?Что бы подумали ваши пользователи, если бы их имена пользователей и пароли стали доступны всему миру?Поскольку пользователи, как правило, используют пароли на разных сайтах, это может повредить репутации вашего сайта (и вашей репутации), если это произойдет.
То же самое может произойти с вашим логином на Facebook.При этом используется OAuth, который является просто токеном-носителем, отправленным клиентом на ваш сервер.Если он отправляется за пределы туннеля SSL / TLS, следует предположить, что он скомпрометирован и, в зависимости от того, как работают токены-носители, любой, кто может видеть токен, использовать его повторно и действовать как пользователь.
По сути, SSL / TLS дешев, как с точки зрения стоимости сертификата от уважаемого и доверенного ЦС, так и мощности / задержки сервера.Если у вас есть пользовательская база любого значительного размера, то, скорее всего, очень легко использовать SSL / TLS.