Если пользователь не «разрешил» ваше приложение, он / она будет перенаправлен (через HTTP 302) на URL-адрес, указанный в параметре redirect_uri, который вы указали в параметрах аутентификации, со следующими данными:http://YOUR_URL?error_reason=user_denied&
error=access_denied&error_description=The+user+denied+your+request.
Все, что вам нужно сделать, это обработать эти данные и отобразить сообщение, которое вы хотите пользователю.
Эту информацию (и многое другое) можно найти в документации по аутентификации facebook