Я думаю, что вы правы, чтобы извлечь свой токен доступа из javascript.Пока этот токен доступа действителен - даже если он не был получен с разрешениями offline_access - его можно использовать для выполнения действий от имени этого пользователя / приложения / страницы.Все, что вам нужно для совершения звонков, - это идентификатор пользователя / приложения / страницы, который легко получить, и действительный токен доступа ...
Я рекомендую оставить управление токеном доступа для серверных сценариев.Возможно, с помощью ajax-вызовов регулярно обновляются сообщения ...