После долгих исследований я смогу ответить на свой вопрос.
Если ваше приложение содержит информацию, которую вы хотели бы сохранить в секрете для тех, кто его создал (например, еженедельное обновление диеты), вы должны убедиться, что URL-адреса вашего объекта Open Graph не являются предположительными. Это означает, что когда вы вызываете API или делаете это через curl ...
curl -F 'access_token=[access_token]' \
-F 'object=http://example.com/[object_url]' \ 'https://graph.facebook.com/me/[namespace]:[action]'
.. вы хотите убедиться, что [object_url] не является предположительным. Хороший способ сделать это состоит в том, чтобы включить идентификатор объекта И некоторый другой неосуществимый хэш / строку.
Приведенные выше шаги гарантируют, что только вы и Facebook когда-либо будете знать, где находится информация об объектах, что позволяет вам передавать ее и даже периодически обновлять. Даже если кому-то удастся получить доступ к одному URL-адресу объекта, он все равно не сможет получить доступ к другим.
Вторая часть проблемы безопасности находится на стороне графика, но, как вы можете видеть из результата нажатия на следующую ссылку, у вас должен быть access_token для просмотра объекта графа приложения, так что это также безопасно и приватно:
http://graph.facebook.com/10150300390106292
Надеюсь, это поможет кому-нибудь в какой-то момент. Это чертовски смутило меня.