https://dev.twitter.com/docs/api/1/post/oauth/request_tokenによると、すべての OAuth 認証手順で HTTPS を使用することを強くお勧めします。しかし、コールバック URL がこの提案に従っていないことがわかりました。https コールバック URL が指定されている場合と http コールバック URL が指定されている場合に違いはありますか?
例えば、
Request URL:
POST https://api.twitter.com/oauth/request_token
Authorization Header:
oauth_callback="http%3A%2F%2Fmyapp.com%3A3005%2Ftwitter%2Fprocess_callback",
コールバック URL は URL 形式である必要があります。Oauth 仕様では、https である必要はありません。
特定の Oauth プロバイダー (SalesForce など) は、https の使用を強制します。
ただし、ほとんどのサービス プロバイダーはコールバック URL の登録を強制するだけなので、サービス プロバイダーはコンシューマ キー/シークレットを使用して、oauth ダンス中に正しいコールバック URL が提供されていることを確認できます。
また、Android のモバイル アプリは特別なプロトコル ハンドラーを作成できるため、「linkedin://callback」などのコールバック ハンドラーを定義できます (Android アプリが linkedin oauth コールバックを処理できるようにするため)。
そのシナリオでは、モバイル アプリが oauth ダンスをリモート サーバーにオフロードすることを強制するため、https を強制することは意味がありません。
また、アクセス トークンが侵害された場合、セキュリティで保護された API 呼び出しを行うには、コンシューマー キー / コンシューマー シークレットへのアクセスも必要になることに注意してください。