Ответ 1
Поскольку вы аутентифицируете своих пользователей через Facebook, вы знаете достаточно о пользователе.
Независимо от потока аутентификации, который вы используете, вы будете
ШАГ № 1: получите параметр access_token и expire. Скорее всего, вы также запросили user_id (если вы используете JS-SDK, он будет обрабатывать большую часть этого).
ШАГ № 2: инкапсулировать эту информацию (access_token, expire и user_id) в хешированную строку, например. имитируйте формат Facebook signed_request.
STEP # 3: отправьте эту хешированную строку в свои собственные вызовы API:
https://mydomain.com/apis/getUserSecretData?fb_oauth=my_hashed_string&vars=my_other_vars
STEP # 4: в конечной точке API, расшифруйте/декодируйте свою хешированную строку и проверьте параметр expire, и если срок действия access_token истек, вам необходимо запросить новый один и повторите вызов API.