/ user / loginをHTTPSにリダイレクトし、他のすべての要求をHTTPにリダイレクトします

/ user/loginをhttps経由で提供する必要はありません。 https経由で送信するユーザーログインフォームが必要です。

Securepages_prevent_Hijackモジュールを確認してください。securepagesに依存しているため、直接使用するのではなく、ログインフォームがどのように変更されるかを確認してください。そのようです：

function securepages_prevent_Hijack_form_alter(&$form, &$form_state, $form_id) {
  // Secure the login form, so that we always have a secure connection to transmit the
  // initial cookie.  Also, protect the password in transit.
  if ($form['#id'] == 'user-login-form' || $form['#id'] == 'user-login') {
    $url = parse_url($form['#action']);

    $base_path = base_path();
    $path = (!strncmp($url['path'], $base_path, drupal_strlen($base_path)) ? drupal_substr($url['path'], drupal_strlen($base_path)) : $url['path']);
    $options = array('secure' => TRUE);
    if (isset($url['query'])) {
      $options['query'] = $url['query'];
    }
    $form['#action'] = securepages_url($path, $options);
  }
}

Drupalが設定しているCookieが安全かどうかも確認する必要があります。これはphp.iniの設定によって異なります。session.cookie_secureを1.使用している場合、Cookieはhttpセッションに送信されません。そのため、ホームページに戻ります（セッションCookieなし==セッションなし==ログイン情報なし==ログアウト）。もちろん、session.cookie_secureが0の場合、他のパーティが転送中のセッションCookieを観察し、ユーザーになりすます可能性があります。すでにこのリスクを考慮している可能性がありますが、考慮事項があります。