Использование токенов в сторонних приложениях

У меня есть конкретный случай использования, когда я использую FB API вне моего фактического приложения, зарегистрированного в Facebook.

А нарисовал схему здесь:

Вкратце позвольте мне объяснить мой сценарий. У меня есть опекуны / члены семьи, которые авторизуют мое приложение FB (розовый блок), используя стандартный вход через JS-SDK. Затем я передаю токен и UID в систему киоскового типа (Зеленый блок) в доме престарелых. Я использую этот API доступа к фотографиям для отображения фотографий в системе для пожилых людей.

Вопрос можно суммировать в одном предложении: как сохранить учетные данные в течение неопределенного времени без взаимодействия с пользователем?

Я понимаю, что правильный способ обработки токенов - это снова выполнить вход в систему. Проблема в том, что фактический пользователь (пожилой человек) не может выполнить это.

Могу ли я получить подтверждение того, что токены никогда не обновляются и один * должен выполнить вход в систему, чтобы получить новые? Ищу предложения о том, как справиться с моим сценарием, если это так.