Facebook の実績のロックを解除するには、ユーザー アクセス トークンではなくアプリケーション アクセス トークンを使用する必要があります。おそらく、ユーザーがグラフ API 呼び出しで自分の実績のロックを解除できないようにするためです。アプリケーション トークンは、アプリ ID (パブリック ナレッジ) とアプリケーション シークレット キー (プライベート) の組み合わせです。これは、アプリケーションにサーバー コンポーネントがある場合は簡単に実現できます。アプリケーションの秘密鍵をサーバー コードに安全に埋め込むことができるため、漏洩を恐れず、条件が満たされたときにサーバーが実績のロックを解除するように要求するだけです。ただし、アプリケーションにサーバー コンポーネントがない場合 (つまり、ネイティブの iOS または Android アプリケーションの場合)、アプリケーション バイナリに秘密鍵を埋め込まないと実績のロックを解除できないようです (悪いこと)。