https://developers.facebook.com/docs/authentication/ ваш друг. Прочитайте раздел потока на стороне сервера.
"Если пользователь нажимает Разрешить, ваше приложение авторизуется. Диалог OAuth перенаправит (через HTTP 302) браузер пользователя на URL-адрес, который вы передали в параметре redirect_uri с кодом авторизации:
http://YOUR_URL? Код = A_CODE_GENERATED_BY_SERVER
Имея этот код в руках, вы можете перейти к следующему шагу, аутентификации приложения, чтобы получить токен доступа, необходимый для выполнения вызовов API.
Для аутентификации вашего приложения вы должны передать код авторизации и секрет вашего приложения в конечную точку токена Graph API - вместе с точно таким же redirect_uri, использованным выше - в https://graph.facebook.com/oauth/access_token. Секрет приложения доступен из Разработчик приложения и не должен быть передан кому-либо или встроен в любой код, который вы будете распространять (вы должны использовать поток на стороне клиента для этих сценариев).
https://graph.facebook.com/oauth/access_token?
client_id = YOUR_APP_ID & redirect_uri = YOUR_URL &
client_secret = YOUR_APP_SECRET & код = THE_CODE_FROM_ABOVE
Если ваше приложение успешно аутентифицировано и код авторизации от пользователя действителен, сервер авторизации вернет токен доступа:
Помимо токена доступа (параметр access_token), ответ содержит количество секунд до истечения срока действия токена (параметр expires). Когда срок действия токена истечет, вам нужно будет повторить шаги, описанные выше, чтобы сгенерировать новый код и access_token, хотя, если пользователь уже авторизовал ваше приложение, ему не будет предложено сделать это снова. Если вашему приложению требуется токен доступа с неограниченным сроком действия (возможно, для выполнения действий от имени пользователя после того, как оно не использует ваше приложение), вы можете запросить разрешение offline_access. "