Quiero usar OAuth de una fuente famosa (Facebook / Google / GitHub) como un mecanismo de inicio de sesión para los usuarios (por simplicidad y para evitar el almacenamiento de contraseñas).
¿Cuáles son los riesgos de seguridad? ¿Realmente necesito HTTPS / TLS en mi sitio web? ¿TLS lo hace 100% seguro?
Ningún sistema será 100% seguro. Creo que algunos proveedores de autenticación (como Facebook) lo obligarán a usar TLS y solo permitirá redirecciones a https:// sites. Si su conexión no está asegurada con TLS, un interceptor no autorizado podrá ver los tokens intercambiados en el proceso de autenticación de OAuth. Con Let's Encrypt disponible de forma gratuita, realmente no hay un buen argumento en contra de la solución TLS más básica.