в javascript вы можете использовать accessToken, который другие просто не могут придумать.
FB.getLoginStatus(function(response) {
if (response.status === 'connected') {
// the user is logged in and has authenticated your
// app, and response.authResponse supplies
// the user's ID, a valid access token, a signed
// request, and the time the access token
// and signed request each expire
var uid = response.authResponse.userID;
var accessToken = response.authResponse.accessToken;
} else if (response.status === 'not_authorized') {
// the user is logged in to Facebook,
// but has not authenticated your app
} else {
// the user isn't logged in to Facebook.
}
});
Что касается API регистрации, Facebook использует HMAC-SHA256 algorithm для хеширования информации, и только вы можете расшифровать этоиспользуя секрет вашего приложения app_secret, поэтому, если вы не разрешаете клиентской стороне видеть секрет вашего приложения, пользователь не может изменить эти данные и при желании отправить любой facbook user_id, так в чем же проблема?есть также oauth_token, который, я полагаю, может быть использован в дальнейшем, если это не так.