Аутентификация одностраничного приложения

Моя компания переписывает свой сайт электронной коммерции как одностраничное приложение, используя новые функции Web API/SPA в MVC 4. Мы не уверены в том, как лучше всего обрабатывать аутентификацию.

Конкретные вопросы:

1. Как мы обрабатываем как зашифрованную, так и незашифрованную связь? Понятно, что нам нужно использовать HTTPS для входа в систему, учетной записи и проверки AJAX, но мы хотели бы использовать HTTP для просмотра каталога, чтобы избежать дорогостоящих рукопожатий SSL, которые замедлят работу всего сайта. Возможно ли это вообще для SPA, или мы застряли на HTTPS для всего?

2. Какую аутентификацию следует использовать? В первую очередь доступ к нашему сайту будет осуществляться через веб-браузер, поэтому файлы cookie могут быть приемлемыми. Но в будущем мы, возможно, захотим сделать специальное приложение для iPhone. Что предпочтительнее: обычная аутентификация, OpenId или OAUTH? Если да, то почему?

   1. Если мы перейдем к Forms Auth и файлам cookie, будет ли проблема с перенаправлениемисправлена ​​для выпуска MVC 4, или мне придется использовать хакер?
   2. Если мы выберем обычную аутентификацию, как сделать постоянные сеансы, чтобы пользователям не приходилось входить в систему каждый раз, когда они снова заходят на страницу.
   3. Какие методы аутентификации хорошо поддерживаются ASP.NET MVC 4. В идеале не нужно писать много специализированного кода.

Заранее спасибо