Melden Sie sich mit Facebook oauth, ohne vollen Zugang facebook.com

Eine Webanwendung, die ich gerade entwickle, benötigt Benutzer, die sich über Facebook OAauth anmelden können. Das Problem ist jedoch, dass sich all diese Benutzer hinter einer Firewall befinden, die den Zugriff auf facebook.com (Unternehmensrichtlinie) blockiert. Wir haben uns verschiedene Lösungen angesehen, um dies zu umgehen, wie:

• Setzen Sie einen (squid) Proxy zwischen Facebook und den Benutzern. Dies könnte das Problem lösen, da squid feinkörnige Regex-basierte ACLs unterstützt. Die meisten Facebook-OAuth-Strategien laufen jedoch auf www.facebook.com und die Überprüfung von PATH_INFO auf die Whitelist bestimmter Pfade ist nicht möglich, wenn die Benutzer HTTPS verwenden (was zwingend erforderlich ist).
• Hinzufügen einer Proxy-ähnlichen Site in der DMZ der Firewall, die die URLs / Facebook-Anfrage einfach passiert und ändert. Dies ist offensichtlich auch nicht der richtige Weg, da dies bedeuten würde, dass Nutzer ihre Anmeldedaten auf unserem Server hinterlassen, was gegen die Facebook-Bedingungen verstößt.
• Lockern Sie die Firewall etwas auf, um nur IP-Adressen zu aktivieren, die für die OAuth-Authentifizierung benötigt werden, aber soweit wir herausfinden konnten, gibt es keine dedizierte IP oder Subdomain nur für die Authentifizierung (es wäre schön, wenn graph.facebook.com würde so etwas bieten).

Irgendwelche Ideen für alternative Lösungen? Ist das überhaupt möglich?