Я собираюсь процитировать документацию Facebook по этому вопросу, поскольку на самом деле они не очень расплывчаты.
Чтобы аутентифицировать ваше приложение, вы должны передать код авторизациии секрет вашего приложения для конечной точки токена Graph API на https://graph.facebook.com/oauth/access_token. Секрет приложения доступен в приложении для разработчиков и не должен передаваться кому-либо или встраиваться в какой-либо код, который вы будете распространять (вы должны использовать клиентскую часть).последовательность действий для этих сценариев).
https://graph.facebook.com/oauth/access_token? client_id = YOUR_APP_ID & redirect_uri = YOUR_URL & client_secret = YOUR_APP_SECRET & code = THE_CODE_FROM_ABOVEЕсли ваше приложение успешно аутентифицировано, и код авторизации от пользователя вернет авторизацию, сервер вернет авторизацию, пользователь вернет авторизацию, авторизация будет возвращена авторизацией пользователя, авторизация будет возвращена, авторизация будет возвращена авторизационным сервером, и авторизация вернет авторизационный код от пользователя.token.
В дополнение к токену доступа (параметр access_token) в ответе содержится количество секунд до истечения срока действия токена (параметр expires).Когда срок действия токена истечет, вам нужно будет повторить шаги, описанные выше, чтобы сгенерировать новый код и access_token, хотя, если пользователь уже авторизовал ваше приложение, ему не будет предложено сделать это снова.Если вашему приложению нужен токен доступа с неограниченным сроком действия (возможно, для выполнения действий от имени пользователя после того, как оно не использует ваше приложение), вы можете запросить разрешение offline_access.