需要安全连接
需要使用 TLS 安全连接才能访问所有的 API,没有特例。试图弄清楚或解释什么时候可以使用 TLS 以及什么时候不能使用是不值得的。一切都需要并且只需要 TLS。
理想情况下,只需通过不响应 http 或端口 80 的请求来拒绝任何非 TLS 请求,以避免任何不安全的数据交换。在无法做到这一点的环境中,请使用403 Forbidden.
不鼓励重定向,因为它们允许含混/不良客户端行为而不会提供任何明确的收益。依赖重定向的客户端会增加服务器流量并使 TLS 变得无用,因为在第一次调用期间敏感数据已经暴露。