我正在构建使用Facebook API组件的应用程序,并且有一些要求,因此应用程序可以进行审查。我解决了其他要求,但我不太确定我是否需要HTTPS,或者它可以很好地与HTTP一起使用?
只有在创建页面/标签应用或画布应用时才需要 https。 查看应用设置,这些平台专门要求提供 https 链接。
使用 http 很好,令牌安全性最好用 appsecret_proof 完成。使用http或https并不重要。
话虽如此,拥有https总比没有https要好。但问题是"我需要它吗",所以...请看我的第一句话:)
我不具体了解Facebook规则,但是:
-
如果前端(javascript)可以访问令牌来标识用户,也许您应该使用https来保护该令牌。
-
如果您操纵用户的个人数据,那么在许多国家(例如欧洲国家),您有义务保护。
由于https 保护您的网站免受不必要的修改(ISP注入广告)并保护您的用户,因此在2016年,问题不再是"我应该使用https吗?"而是"我有充分的理由不这样做吗?