В потоке аутентификации facebook для идентификации asp.net диалоговое окно oauth facebook добавляет код, а не токен доступа к redirect_url, чтобы сервер мог обменять этот код на токен доступа черезhttp://localhost:49164/signin-facebook?code=...&state=....

Моя проблема в том, что мой клиент - мобильное приложение, которое использует SDK facebook, и это сразу же дает мне токен доступа. Facebook говорит, что использование SDK всегда дает вам токен доступа, так что я могу сразу дать web api токен доступа?

Я понимаю, что это не очень безопасно, но возможно ли это?