Моя компания переписывает свой сайт электронной коммерции как одностраничное приложение, используя новые функции Web API/SPA в MVC 4. Мы не уверены в том, как лучше всего обрабатывать аутентификацию.
Конкретные вопросы:
Как мы обрабатываем как зашифрованную, так и незашифрованную связь? Понятно, что нам нужно использовать HTTPS для входа в систему, учетной записи и проверки AJAX, но мы хотели бы использовать HTTP для просмотра каталога, чтобы избежать дорогостоящих рукопожатий SSL, которые замедлят работу всего сайта. Возможно ли это вообще для SPA, или мы застряли на HTTPS для всего?
Какую аутентификацию следует использовать? В первую очередь доступ к нашему сайту будет осуществляться через веб-браузер, поэтому файлы cookie могут быть приемлемыми. Но в будущем мы, возможно, захотим сделать специальное приложение для iPhone. Что предпочтительнее: обычная аутентификация, OpenId или OAUTH? Если да, то почему?
Заранее спасибо