При работе с Facebook SDK (точнее, при реализации функции входа в Facebook в интерфейсе REST) токен, полученный клиентом от Facebook, должен быть сначала проверен на достоверность сервером перед выполнением дальнейших операций. .
Самый простой способ сделать это - использовать недокументированный вызов API.
GET https://graph.facebook.com/me?access_token=TOKEN
где TOKEN - это указанный токен доступа, длина которого превышает 200 символов. Ответ - либо успешный ответ
{ "id": "XXXXXXXXXXXXXXXXX", "email": "david\u0040vielhuber.de", "first_name": "David", "gender": "male", "last_name": "Vielhuber", "link": "https://www.facebook.com/app_scoped_user_id/XXXXXXXXXXXXXXXXX/", "locale": "de_DE", "name": "David Vielhuber", "timezone": 2, "updated_time": "2014-02-09T18:47:26+0000", "verified": true }
Здесь следует использовать ID пользователя для окончательной проверки.
В противном случае вы получите незаметное сообщение о том, что это недействительный токен.:
{ "error": { "message": "Invalid OAuth access token.", "type": "OAuthException", "code": 190 } }