Si tengo una API que llama a un servicio web backend, ¿es posible usar HTTPS en la solicitud y solo HTTP en la respuesta?
Tengo una pregunta semejante porque quiero proteger mi token OAuth en mi solicitud. Y luego usar WS-Security en mi respuesta SOAP. Estoy tratando de encontrar una manera de lograr que estas dos cosas funcionen juntas, ya que parece que WS-Security no puede funcionar con HTTPS ...
No: toda la conexión se realizará a través de HTTP o HTTPS: solicitud y respuesta.
No puedo pensar en una situación en la que se requiera cifrado para la solicitud, pero no para la respuesta. Esto no tiene ninguna ventaja, ya que el protocolo de enlace de SSL tendría que realizarse de todos modos.
No tengo idea de por qué querrías hacer tal cosa, pero no, no es posible. HTTPS es HTTP sobre TLS, por lo que tan pronto como se establezca una conexión TLS, la pila TLS debe descartar inmediatamente todo el tráfico no cifrado.
Sin embargo, lo que podría hacer es responder con un encabezado de ubicación (redirigir) y apuntar a un documento HTTP, si su software sigue redirecciones.
Lea otras preguntas en las etiquetas tls http web-service