Bonjour,

Je dois mettre en place en serveur HTTP(S) qui gère des pages Web et une API RESTFull.

L'accès aux pages Web se fait via un formulaire qui permet de créer une session pour avoir accès au contenu des pages Web (ex: https://xxx/login > https://xxx/index).
Quand à l'API, l'authentification se fait par login/password via du "Basic Auth" (ex : https://xxx/api/yyy).

On me demande de gérer une redirection HTTP vers HTTPS, quelle est la bonne pratique pour faire ça ?

Quel devrait être la réponse du serveur pour les requêtes suivantes ?
- GET http://xxx/index.
- POST http://xxx/index.
- PATCH http://xxx/index.
- GET http://xxx/api/yyy.
- PATCH http://xxx/api/yyy.

Si un HTTP client lance une requête "PATCH http://xxx/api/yyy", la réponse doit être "302, location: https://xxx/api/yyy" ou "307, location: https://xxx/api/yyy" ou autre ?

Si un HTTP client lance une requête "POST http://xxx/index", la réponse doit être "302, location: https://xxx/login" ou "307, location: https://xxx/index" ou autre ?

Si l'URL est invalide (ex : un PATCH sur une URL qui n'existe pas), quelle doit être la réponse ?

Est-ce une bonne pratique de gérer le HTTP redirect pour une API ?... on me demande de faire ça mais je me demande si c'est vraiment utile : que devrait répondre le serveur en cas de requête en HTTP sur http://xxx/api ?
... en général, les API coté client savent de base gérer le HTTP redirect ?

Merci d'avance