アプリがコードまたはトークンを response_type として使用するかどうかにかかわらず、 access_token で自動チェックを実行して、トークンがアプリが所有することを期待している人物のものであること、およびトークンを生成したのがアプリであることを確認することをお勧めします。
あなたはこれを行うことになっています
GET graph.facebook.com/debug_token?
input_token={token-to-inspect}
&access_token={app-token-or-admin-token}
app-token は app_id|app_secret で、token-to-inspect はユーザーの access_token です。また、ドキュメントを読むと、app_id と app_secret を使用して client-credentials 呼び出しを実行することで、app-token を取得できると思います。
これは、サーバー側で実装された承認フローでは問題ありませんが、暗黙的なメソッドを使用していて、response_type をトークンとして選択した場合 (何らかの理由で FB の JavaScript SDK を使用していない場合) はどうでしょうか? app_secret を漏らさずに安全に app-token を取得するにはどうすればよいでしょうか? FBのSDKはどのようにそれを行いますか?