В этом случае маркер подлинности действительно не применяется. Маркер подлинности предназначен для того, чтобы убедиться, что пользователи делают запросы из вашего приложения. Вот почему токен аутентификации генерируется во время первоначального запроса к приложению и затем передается обратно во время запросов POST, PUT и DELETE. Если вы используете другое приложение для отправки запросов, у вас нет возможности сгенерировать токен аутентификации при первом вызове. Это означает, что вам нужно игнорировать проверку токена подлинности по умолчанию для определенных действий:
protect_from_forgery :except => [:update, :delete, :create]
или для вашего контроллера:
skip_before_filter :verify_authenticity_token
То, что вы на самом деле делаете, - это создание API, с которым ваше приложение Facebook может взаимодействовать, и для API вам нужно использовать другие формы аутентификации, такие как OAuth, чтобы убедиться, что запрос действителен.