Al verificar la implementación de facebook php sdk, noté que exponen el token de acceso al propietario del recurso (usuario)
$params = array(
'next' => $next,
'access_token' => $session->getToken()
);
return 'https://www.facebook.com/logout.php?' . http_build_query($params, null, '&');
¿Qué tan dañino se considera que es? No puedo explicarlo, pero simplemente no se ve bien.
En caso de que no sea "la mejor práctica", ¿cómo se implementaría un cierre de sesión utilizando un flujo de v2 o en su lugar?
He investigado un poco la especificación y eso es lo que he encontrado:
No pase tokens de portador en las URL de página: tokens de portador NO DEBEN ser pasado en las URL de la página (por ejemplo, como parámetros de cadena de consulta).