Voglio utilizzare OAuth da una fonte famosa (Facebook / Google / GitHub) come meccanismo di accesso per gli utenti (per semplicità e per evitare di memorizzare password).
Quali sono i rischi per la sicurezza? Ho davvero bisogno di HTTPS / TLS sul mio sito web? TLS lo rende sicuro al 100%?
Nessun sistema sarà sicuro al 100%. Penso che alcuni provider di autenticazione (come Facebook) costringeranno a utilizzare TLS e consentiranno solo reindirizzamenti a https:// siti. Se la tua connessione non è protetta tramite TLS, un intercettatore sarà in grado di vedere tutti i token scambiati nel processo di autenticazione OAuth. Con Let's Encrypt disponibile gratuitamente, non c'è davvero alcun valido argomento contro la soluzione TLS più semplice.