Se ho un'API che chiama un servizio web di back-end, è possibile utilizzare HTTPS nella richiesta e solo HTTP nella risposta?
Ho una domanda del genere perché voglio proteggere il mio token OAuth nella mia richiesta. E quindi utilizzare WS-Security nella mia risposta SOAP. Sto cercando di trovare un modo per far funzionare insieme queste due cose, perché sembra che WS-Security non possa funzionare con HTTPS ...
No - l'intera connessione potrebbe essere su HTTP o HTTPS - richiesta e risposta.
Non riesco a pensare a una situazione in cui sarebbe richiesta la crittografia per la richiesta ma non per la risposta: non c'è alcun vantaggio in questo poiché l'handshake SSL dovrebbe comunque aver luogo.
Non ho idea del perché tu voglia fare una cosa del genere - ma no, non è possibile. HTTPS è HTTP su TLS, quindi non appena viene stabilita una connessione TLS, tutto il traffico non crittografato deve essere immediatamente eliminato dallo stack TLS.
Tuttavia, ciò che potresti fare è rispondere con un'intestazione di posizione (reindirizzamento) e puntare a un documento HTTP, se il tuo software segue i reindirizzamenti.
Leggi altre domande sui tag http tls web-service