Android 身份验证：服务器端的Facebook用户访问令牌验证？

这里有很多问题是关于服务器端的

Facebook访问令牌的验证过程。我有点困惑怎么还安全

我的客户端和服务器流是：

用户
在客户端使用
移动SDK继续使用Facebook

Facebook将
用户访问令牌
返回到客户端
服务器端点接收
用户访问令牌
（通过POST方法），并使用
图形
API验证
访问令牌
如果是经过身份验证的用户，则返回
JWT
授权令牌作为响应
同时（一小时内），如果黑客发现
端点
，并将新的
访问令牌
传递给被黑客攻击的端点
如果执行
5th
点，会发生什么情况？破解
POST
参数是很困难的，但在反编译应用程序并查看类文件（至少对于android apk）之后，这是可能的。在这种情况下，服务器将无法识别伪造的请求，并将始终返回
JWT Authorization
令牌以进行进一步调用

Facebook
访问令牌的有效期为60天。我是否需要在验证端点时提供额外的安全层，以确保请求仅来自应用程序

每当用户请求登录时，
facebook用户访问\u令牌是否总是在更改

任何形式的帮助都是值得的。谢谢
解决方案：

生成的
access\u令牌将始终属于某个应用程序。要验证是否将
access\u令牌
和
app\u令牌
传入：

https://graph.facebook.com/debug_token?
access_token=ACCESS_TOKEN
&app_token=APP_TOKEN

您几乎必须使用自己的身份验证机制，比如说基本身份验证。或者一个身份验证头，除了开发人员之外，其他人都无法使用。@KhushalChouhan Basic auth不安全，因为它以明文形式发送参数。我不知道这一点。你能提供你的信息来源吗？