Javascript google+登录api，通过http发送访问令牌？

你好，不幸的是，我正在工作的网站没有SSL证书或任何愚蠢的东西，但我无能为力。我正在网站上实现google+登录，JavaScript正在运行，我得到了访问令牌以及所有东西

问题是，当在用户登录之前将数据发送到服务器进行验证时，是否可以通过HTTP发送访问令牌，或者是否需要SSL。我已经试着让CORS与Ajax一起工作，但我一直得到一个

已阻止跨来源请求：同一来源策略不允许 正在读取远程资源 . 这可以通过以下方式解决： 将资源移动到同一域或启用CORS

它显然是通过HTTP工作的，但我不知道如何使用HTTPS使其工作，它只是不断地返回相同的错误

我试着把这些标题放在google_登录函数的开头，甚至用.httaccess来代替，但仍然一无所获

header("Access-Control-Allow-Origin: https://www.mysite.com");
header("Access-Control-Allow-Headers: Cache-Control, X-CSRF-Token, X-Requested-With, X-File-Name, X-File-Size");

---

那你有什么想法吗？我可以只使用HTTP吗？也许在发送之前会对它进行加密，我对此表示怀疑，但我不知道还要做什么才能使cors正常工作，顺便问一下，服务器没有SSL证书，这可能是问题所在吗？我没有办法解决这个问题，或者很遗憾，你必须在整个网站上使用HTTPS，或者攻击者可以修改你的JS来窃取他们自己的令牌。你不应该在客户端需要证书，除非你需要安全地在谷歌上识别你自己。您应该能够将curl/php指向https url，然后从那里开始。我正在查看，看起来我可以用这个来代替登录。Google发回一次性使用代码，然后将其传递给服务器，此时服务器将交换访问令牌。从这些示例来看，客户端-服务器调用似乎至少不需要ssl。只有客户端google和服务器google调用需要SSL，我已经可以这样做了。那么，这是一种可以接受的方式吗？