我想知道哪种类型的客户端(编程平台或设备)可以连接到http:// ... URL,但很难连接到https:// ... URL?
这就是我真正要求的,但如果你想知道为什么我在问,这里有一点背景:
我正在构建一个REST(ish)API,我一直在为如何最好地进行客户端身份验证而烦恼。我一直在改变主意是否使用:
我知道每种方法都有利弊。选项2的一个关键优势是,它要求所有API端点都是HTTPS URL,因为它相当简单。我相信这种方法的简单性是OAuth 2.0默认的主要原因之一。
但是,如果访问HTTPS URL不是客户端软件的障碍,那就更简单了。这就是为什么我想知道什么类型的客户会发现使用强制HTTPS的API是不可行的?
我知道一个:希望使用在浏览器中运行的JavaScript连接到JSON API的HTTP网页。他们无法在不触发有关混合内容的浏览器安全警告的情况下访问任何HTTPS URL。
但我确信必须有其他问题客户端或编程平台。也许旧版本的PHP,或共享主机,嵌入式设备,旧的Win32应用程序,某些企业中间件软件等? (只是一些可能的想法。我真的不确定对HTTPS连接支持有限的客户是一个实际问题还是更多理论问题。)