まず最初に、「offline_access」についてまた質問して申し訳ありませんが、Facebook がこれについて非常に漠然としていることを非難します。私はそれについて非常に多くのことを読んできました(ここと公式のFacebookの非推奨「ドキュメント」)。
私たちのアプリケーションは Facebook API を使用して、ユーザーのストーリーをタイムラインに公開します。これは、curl 経由で PHP を使用してサーバーから実行されています。
私の理解では、アクセストークンは 60 日を超えて有効にすることはできません。これは、トークンが無効になるたびに、ユーザーがサイトに戻って再認証する必要があるということですか? もしそうなら、Foursquare (私たちと同様の統合を行っている) のようなサービスはこれをどのように処理しますか?
または、Facebook-API が「このトークンは期限切れです」というメッセージで応答したときに、単純に新しいトークンを要求することは可能ですか?
もちろん、ユーザーは戻ってくる必要があります。これが、offline_access を削除することの要点です。アプリは、ユーザーに代わって永遠に動作し続けることはできません。
または、Facebook-API が「このトークンは期限切れです」というメッセージで応答したときに、単純に新しいトークンを要求することは可能ですか?
ユーザーの介入なしではありません。しかし、私が理解している限りでは、ユーザーがページにいるときに JS SDK を介してたとえば FB.login を呼び出すだけで十分なはずです。これにより、ポップアップが表示され、ユーザーが FB にログインし、はまだアプリを承認しており、新しい短命の access_token を取得します。これを長命の access_token と交換できます。
これは、認証フローに応じて、シナリオ 3 または 4 として移行ドキュメントでカバーされていると思います
はい、ユーザーに代わってアクションを実行するための有効なトークンを取得するには、ユーザーが少なくとも 60 日に 1 回戻ってくる必要があります