我的流程足以保护REST API吗？

Question

我是Web开发的新手。我想为我的游戏编写一个后端，并想通过Facebook进行身份验证。我不确定我的想法是否正确和足够安全。当然，https是必须的。

1. 每次启动应用程序时，用户都会发送带有fb用户ID和令牌的/ init请求。
2. 服务器通过向fb api请求来检查此用户ID和令牌是否有效。
3. 如果一切正确，服务器将检查数据库中的用户。
4. 如果用户不存在，则使用应用程序密码，fb令牌，fb id和当前日期/时间将其保存到数据库并发送给客户端。 或者如果存在具有此fb id的用户，则将先前存储在数据库中的令牌发送给用户。
5. 客户端正在使用此令牌与api通信。

如果这种方法是正确的，我几乎没有疑问。 每次用户启动应用程序时发送用户ID和令牌是否安全？ 我想每次用户使用/ init请求时都将fb用户令牌和ID与fb一起使用，因为fb访问令牌的生存时间不超过60天。这是正确的方法吗？ 现在，如果用户拥有他的令牌即可访问我的API。每次他发出请求时，我都应该通过调用数据库来实现吗？这不是很慢/很贵吗？