Facebook JS SDK не требует секрета приложения для аутентификации: насколько он безопасен?

Когда я использую Facebook JS SDK для аутентификации моего приложения (с использованием метода FB.init), мне нужен только мой App ID. Это не требует секрета моего приложения и / или ключа приложения. Однако, когда я использовал PHP SDK, мне требовался секрет моего приложения (по крайней мере, в примере, который я использовал для изучения, использовались как идентификатор приложения, так и секрет приложения).

Безопасно ли и рекомендуется ли использовать JS SDK для аутентификации? Как на самом деле происходит процесс аутентификации с JS SDK?

Спасибо, Vineet