Подключение авторизованного Flash-клиента к Java-серверу

Я создаю игру для Facebook на основе Flash с бэкэндом Java, и я планирую использовать подход RESTful для их соединения (не постоянный сокет подключение). Я использую библиотеку AS3 для подключения клиента к Facebook, поэтому там я храню информацию о сеансе. Однако как мне разрешить клиентские подключения обратно к серверу? Я не могу оставить URL-адреса обратного вызова открытыми, поскольку это позволит людям управлять состоянием игры, не играя в нее. Мне нужно убедиться, что вызовы поступают от действительного клиента и через действующий сеанс.

В настоящий момент у пользователей нет прямого входа на внутренний сервер - все это обрабатывается через клиентский интерфейс. Могу ли я передать токен доступа Facebook OAuth2 серверной части таким образом, чтобы серверная часть могла проверить его действительность? Должно ли этого быть достаточно, чтобы доверять действующему внешнему интерфейсу?

Я мог бы выполнить двухсторонний подписанный запрос OAuth или просто использовать простой общий секрет, но ключи должны были быть упакованы вместе с флэш-клиентом, что делает это почти бесполезным для этого варианта использования.

Кто-то должен был решить эту проблему, но я не могу ее найти.