Oauth2 представляет идею истечения токена доступа и не истекающих (или долгосрочных) токенов обновления, используемых для доступа к новому токену доступа.Почему нам даже нужно обновлять токены через HTTPS?
Этот дополнительный уровень безопасности имеет стоимость (бэкэнд, а также интерфейс). Является ли преимущество этой меры чрезмерной массой расходов?
Ну, это похоже на хороший процесс, если вы планируете развернуть свой API через http, но все же полезно использовать SSL (TLS)?
Все мои исследования по этому вопросу в Интернете как-то указывали на «если злоумышленник крадет ваш нелетущий токен доступа ...», но подождите, нет, никто не сможет обработать мой токен средним образом, потому что это над HTTPS.
Итак, мы доверяем HTTPS, и все это является догмой overkill, или есть ли другая причина беспокоиться о том, что токен моего пользователя может быть украден?