Секретный ключ сеанса используется для подписания запроса к API-функциям Facebook. Он используется в ситуациях, когда он может быть раскрыт, например, в исполняемом браузером коде javascript, который выполняет вызовы API и должен их подписывать.
Facebook еще не предоставил способ получить секретный ключ сеанса в новом API-интерфейсе графа, поэтому вам нужно включить «устаревшие методы API» в настройках приложения, а затем вы можете использовать старый вызов API REST auth.promoteSession для получения ваш секретный ключ сеанса на стороне сервера, а затем вставьте этот ключ в код, который будет использоваться на стороне клиента.