Если вы прочитаете раздел документации Graph API об авторизации, то увидите, что если они используют токен доступа OAuth 2.0, они могут получить любую информацию, которая у вас есть в открытом доступе, без вашего разрешения. Вы можете увидеть примеры ниже.
Graph API как таковой позволяет легко получать доступ ко всей общедоступной информации об объекте. Например, https://graph.facebook.com/btaylor (Брет Тейлор) возвращает всю публичную информацию о Брете. Например, имя пользователя, фамилия и изображение профиля общедоступны.
Чтобы получить дополнительную информацию о пользователе, вы должны сначала получить его разрешение. На высоком уровне вам необходимо получить токен доступа для пользователя Facebook. После получения токена доступа для пользователя вы можете выполнять авторизованные запросы от имени этого пользователя, включив токен доступа в запросы API Graph:
https://graph.facebook.com/220439?access_token=...
Например, https://graph.facebook.com/btaylor?access_token=... (Брет Тейлор) возвращает дополнительную информацию о Брет Тейлор.
Graph API использует OAuth 2.0 для авторизации. Пожалуйста, прочитайте руководство по аутентификации, которое содержит подробную информацию о реализации Facebook OAuth 2.0, как запросить разрешения у пользователя и получить токен доступа.
Получение токена доступа для пользователя без расширенных разрешений позволяет получить доступ к информации, которую пользователь сделал доступной для всех на Facebook. Если вам нужна конкретная информация о пользователе, например его адрес электронной почты или история работы, вы должны запросить конкретные расширенные разрешения. Справочная документация для каждого объекта Graph API содержит сведения о разрешениях, необходимых для доступа к каждому соединению и свойству этого объекта.