Зачем вам нужен и «код», и «токен» в потоке аутентификации OAuth2 Facebook, как описано здесь:https://developers.facebook.com/docs/authentication/ ?

Если вы посмотрите на ссылку диалога OAuth (https://developers.facebook.com/docs/reference/dialogs/oauth/), похоже, что вы когда-либо используете токен только для получения информации о пользователе, и если вы укажетеresponse_type параметр какtoken или жеcode,tokenтогда вы получите токен в первый раз.

Зачем вам нужно получать «код», а затем использовать код для получения «токена», а не напрямую получать токен?

Я думаю, что я неправильно понимаю что-то базовое о том, как работает OAuth, но, похоже, вы избегаете запросаhttps://graph.facebook.com/oauth/access_token полностью, если вы получите токен в первый раз с диалогом.