Ответ 1
Если вы посмотрите на конечные точки API, предоставленные всеми популярными провайдерами OAuth (Google, Facebook, Pocket, Git и т.д.), вы увидите, что у них все конечные точки HTTPS.
Способы передачи токена доступа провайдеру -
i) В качестве параметра запроса -
https://yourwebsite.com/api/endpoint?access_token=YOUR_ACCESS_TOKEN
ii) В заголовке запроса -
GET /api/users/123/profile HTTP/1.1
Host: yourwebsite.com
Date: Tue, 14 May 2013 12:00:00 GMT
Authorization: <YOUR_ACCESS_TOKEN>
Эти два подхода, которые обычно поддерживаются большинством API. Вы можете думать об этом.
iii) Pocket API не использует GET вообще. Они используют POST для всех своих запросов, даже для извлечения данных. Проверьте ссылку , чтобы просмотреть их документацию. Обратите внимание, что они используют POST для извлечения данных и передачи параметров JSON.