Facebook / picture终结点是否需要访问令牌，并且可以与应用范围的ID一起使用吗？

Question

我发现以下两个帖子暗示可以在没有访问令牌的情况下查询Facebook用户的公开个人资料图片：

• Get user profile picture by Id
• Facebook API - How do I get a Facebook user's profile image through the Facebook API (without requiring the user to "Allow" the application)

1）。该查询有效，但是我无法在任何地方找到文档来确认这是对Graph API的有效使用。这有效吗？

• curl 'https://graph.facebook.com/v3.1/XXXXX/picture?format=json&method=get&pretty=0&redirect=false&suppress_http_code=1'

2）。如果有效，XXXXX是否需要是Facebook用户ID，或者可以是应用程序范围ID（ASID）？

• 我尝试使用多个XXXXX值，每个值针对不同应用程序中的同一用户使用不同的ASID，并且它们都返回相同的图片。我也尝试使用全局Facebook用户ID，并且返回了相同的用户。
• 为什么这样做？是否保证ASID在所有应用程序中都具有全局唯一性？如果不是，那么当不提供访问令牌时，Facebook如何知道此ASID与哪个应用程序对应？

3）。如果这是Graph API的合法用法，如果API请求未提供访问令牌，Facebook将如何应用速率限制和其他安全措施？