oauth（用于twitter/或一般）在http上安全吗

我正在考虑在我的网站上实现twitter登录。我用的是一个能处理一切的图书馆。然而，在第一步：检索请求令牌时，twitter告诉您，所有OAuth授权步骤都使用HTTPS

还有一个问题，twitter发送回您的oauth_令牌是否会在每次请求时发生变化？当twitter向您发送一个访问令牌数组时，它的值会在下次用户登录时更改吗？我问这个问题是因为我想将它们保存在数据库中

---

我看到很多网站不使用HTTPS。那么回到我的问题上来，在没有https的情况下使用oauth安全吗？

我会说不，对oauth使用常规http是不安全的。在不使用HTTPS的登录中进行中间攻击是相对简单的。许多人最近抱怨他们的twitter和facebook帐户被这种方法入侵。许多人，比如我自己，现在使用浏览器插件强迫twitter和facebook网站在可用时自动使用https。这种攻击对于使用无线互联网的人来说尤其普遍。尤其是在咖啡馆、酒店或机场等共享无线网络