"Войти через Facebook" + пользовательский API - для приложения iOS

Допустим, у меня есть приложение для iOS, которое использует собственный REST API для таких вещей, как управление учетными записями (регистрация, вход в систему, сброс пароля, получение / установка данных, связанных с пользователем).

Допустим, я хотел бы добавить кнопку "Войти / зарегистрироваться через Facebook", чтобы нашему пользователю не пришлось заполнять скучную регистрационную форму.

Моя база данных по-прежнему будет содержать этих пользователей, но у них не будет имени пользователя / пароля-хэша / адреса электронной почты, они будут связаны только с "идентификатором пользователя Facebook", возвращенным SDK Facebook iOS после входа в Facebook через приложение.

Так что мой API будет иметь такой вызов:

http://www.myapi.com/create_user_with_facebook?facebook_user_id=XXXXX

(Хорошо, не совсем, это не будет GET и т. Д., Но вы меня поняли)

Что меня здесь беспокоит, так это то, что любой сможет вызвать этот API и создать учетную запись такого рода с любым общедоступным идентификатором пользователя Facebook, даже если он не принадлежит им. Никакие данные не будут в опасности или что-то в этом роде, но когда законный владелец этой учетной записи Facebook попытается использовать приложение, приложение скажет: "НЕТ, извините, эта учетная запись Facebook, похоже, уже связана с существующей учетной записью приложения!"

Я понятия не имею, как защитить нашу платформу от такого рода "атак".

(API по-прежнему позволяет регистрировать учетную запись традиционным способом или синхронизировать существующую учетную запись с учетной записью Facebook - как это часто случается во многих приложениях в наши дни)

Любая помощь о том, какое направление я должен предпринять для решения этой проблемы, будет принята с благодарностью! Большое спасибо.