OAuth basado en JavaScript expone el ID de cliente de la aplicación y confía solo en el dominio que solicita el token de acceso. El nombre de dominio se puede falsificar con un secuestro de DNS (o un virus que afecta a /etc/hosts ). Entonces, ¿por qué es compatible con OAuth basado en JavaScript, Facebook, para los clientes que no usan HTTPS? ¿O me estoy perdiendo algo?
OAuth 2.0 requiere bastante HTTPS, ya que no tiene ningún medio para hacer que los tokens sean seguros. Por lo tanto, si Google y Facebook realmente te permiten usar OAuth2 a través de HTTP simple, eso es malo. ¿Estás seguro de que ese es el caso? Pensé que ambos son solo https por bastante tiempo.
Por otro lado, OAuth1 funciona bien con HTTP simple, ya que tiene su propia capa de firmas digitales seguras
Lea otras preguntas en las etiquetas oauth phishing javascript