Facebook регистрация потока с Android

Question

Я занимаюсь разработкой приложения webapp + android, которое имеет собственный процесс регистрации - простую аутентификацию с использованием электронной почты и пароля.
Я легко интегрировал логин Facebook с веб-сайта, следуя второй схеме в на этой странице .

Теперь мне нужно в один клик аутентифицировать приложение Android с помощью Facebook. Суть в том, что после аутентификации Android-приложения мне нужно отправить с моего сервера определенные файлы cookie, необходимые для проверки разрешений, когда пользователь хочет выполнить некоторые операции.

Проблема в том, что я не могу пройти аутентификацию через токен facebook: из того, что я вижу, токен будет работать, даже если он был взят из другого приложения, поэтому я не могу отправлять личные данные, доверяя только токену fb (даже если оно было отправлено по протоколу SSL), так как это могло быть другое приложение, притворяющееся пользователем. Существует ли какой-либо поток регистрации, аналогичный приведенному выше, для аутентификации приложений для Android?
Или есть какой-нибудь совет, чтобы преодолеть эту проблему?

Answer 1

Хорошо, Facebook исправил это, устарел offline_token и предоставил более длинный токен доступа от клиента.Этот токен может быть проверен на стороне сервера по моему идентификатору приложения и секрету приложения с помощью этой новой конечной точки:

https://graph.facebook.com/oauth/access_token?             
    client_id=APP_ID&
    client_secret=APP_SECRET&
    grant_type=fb_exchange_token&
    fb_exchange_token=EXISTING_ACCESS_TOKEN 

, поэтому я могу быть уверен в идентичности пользователя.