How can I make the access token invalid?
Невозможно аннулировать токен доступа, срок его действия истекает через 1 ч
Вы можете проверить документацию здесь
Is it correct that every time the API is used the user has to authorize?
Нет, вы должны спроситьпользователи могут авторизоваться только один раз, используя токен обновления, который вы можете хранить в своем бэкэнде, тем самым позволяя вашему приложению постоянно размещать контент от имени пользователя, пока они не аннулируют разрешения