Box API OAUTH协议是否在防火墙后面工作？

我正在研究从防火墙后面的内部应用程序（它不向外界公开）集成Box API调用的可能性

因此，问题是，如果我们使用回调URI向Box发出身份验证请求，Box是否直接发回指定的回调URI（本质上是从Box向客户端发起新请求），或者它是否向发出请求的客户端发回请求（标准HTTP请求/响应），并期望客户端使用令牌重定向到回调URI

这听起来可能是一个奇怪的问题，但在我的调查中，这似乎是Twitter OAUTH协议的工作原理，如果是这样，将对我们有很大帮助，因为我们不想向外部世界开放防火墙

有关信息，请参见此处：

编辑：刚刚发现这一点，似乎表明客户端将始终启动请求，而不是服务器：

---

非常感谢。OAuth on Box的典型用户体验如下：

用户的浏览器请求www.someboxapp.com，用户单击登录按钮

用户的浏览器请求以开头的框身份验证URL

用户在Box Authorization网页上进行身份验证，然后Box站点将302重定向头发送回用户浏览器。此标题告诉用户的浏览器请求由www.someboxapp.com配置的重定向uri

用户浏览器请求www.someboxapp.com上的重定向URL-例如

在www.someboxapp.com上运行的Box应用程序发出POST请求，以完成身份验证并获取代表用户使用Box API的访问令牌

这意味着，如果您在内部网络上运行Box web应用程序，则需要确保运行该应用程序的web服务器和用户的计算机可以连接到

---

如果www.someboxapp.com仅存在于您的本地网络上-这很好-Box API不需要连接到此主机。

Box上OAuth的典型用户旅程如下所示：

用户的浏览器请求www.someboxapp.com，用户单击登录按钮

用户的浏览器请求以开头的框身份验证URL

用户在Box Authorization网页上进行身份验证，然后Box站点将302重定向头发送回用户浏览器。此标题告诉用户的浏览器请求由www.someboxapp.com配置的重定向uri

用户浏览器请求www.someboxapp.com上的重定向URL-例如

在www.someboxapp.com上运行的Box应用程序发出POST请求，以完成身份验证并获取代表用户使用Box API的访问令牌

这意味着，如果您在内部网络上运行Box web应用程序，则需要确保运行该应用程序的web服务器和用户的计算机可以连接到

---

如果www.someboxapp.com仅存在于您的本地网络上-这很好-Box API不需要连接到此主机。

Box上OAuth的典型用户旅程如下所示：

用户的浏览器请求www.someboxapp.com，用户单击登录按钮

用户的浏览器请求以开头的框身份验证URL

用户在Box Authorization网页上进行身份验证，然后Box站点将302重定向头发送回用户浏览器。此标题告诉用户的浏览器请求由www.someboxapp.com配置的重定向uri

用户浏览器请求www.someboxapp.com上的重定向URL-例如

在www.someboxapp.com上运行的Box应用程序发出POST请求，以完成身份验证并获取代表用户使用Box API的访问令牌

这意味着，如果您在内部网络上运行Box web应用程序，则需要确保运行该应用程序的web服务器和用户的计算机可以连接到

---

如果www.someboxapp.com仅存在于您的本地网络上-这很好-Box API不需要连接到此主机。

Box上OAuth的典型用户旅程如下所示：

用户的浏览器请求www.someboxapp.com，用户单击登录按钮

用户的浏览器请求以开头的框身份验证URL

用户在Box Authorization网页上进行身份验证，然后Box站点将302重定向头发送回用户浏览器。此标题告诉用户的浏览器请求由www.someboxapp.com配置的重定向uri

用户浏览器请求www.someboxapp.com上的重定向URL-例如

在www.someboxapp.com上运行的Box应用程序发出POST请求，以完成身份验证并获取代表用户使用Box API的访问令牌

这意味着，如果您在内部网络上运行Box web应用程序，则需要确保运行该应用程序的web服务器和用户的计算机可以连接到

如果www.someboxapp.com仅存在于您的本地网络上-这很好-Box API不需要连接到此主机