问OAuth代理-我们应该代理所有的东西还是仅仅代理？

EN

我们正在构建一个SaaS应用程序，让我们称之为http://mysaasapp.com。当用户注册时，他们使用子域名http://myinstance.mysaasapp.com或自定义域名http://instance.mycompany.com等访问实例。

我们正在考虑与其他服务(Facebook、twitter等)集成，这样我们的用户就可以在他们的实例中链接到这些服务上的帐户。对于OAuth重定向回调，Twitter非常宽容(当我们提出OAuth请求时，回调/重定向URL可以由我们设置)。然而，Facebook并不那么宽大，回调/重定向域是在应用程序在facebook.com上的配置中设置的

当用户在他们的实例上使用自定义域名时，他们可以选择使我们站点上的子域(http://myinstance.mysaasapp.com)不活跃。这意味着我们不能将OAuth的回调域设置为mysaasapp.com，并期望它能够工作。

解决方案是使用OAuth代理(http://proxy.mysaasapp.com)。我们以前使用过HybridAuth，我们认为应该能够轻松地将它转换为OAuth代理。

话虽如此，但：

• 我们应该只使用OAuth代理来代理Auth请求吗？一旦我们获得了访问令牌，我们是应该继续通过代理请求，还是应该直接从我们的实例连接到提供者？换句话说，是否有任何OAuth安全API将API调用(在身份验证之后)限制在特定定义域上？
• 我应该如何保护OAuth代理，以便请求只能来自应用程序的实例，而响应只能发送到应用程序的实例？