Facebook PHP SDKのVer3.0.0がリリースされた。
Ver2.2.xからの変更点はOAuth2.0関係

$facebook = new Facebook(…);
$session = $facebook->getSession();
と書かれていたログインコードを
$facebook = new Facebook(…);
$user = $facebook->getUser();
に変更する必要がある。

Developer Roadmap Update: Moving to OAuth 2.0 + HTTPS
(http://developers.facebook.com/blog/post/497)

http://www.facebook.com/blog.php?post=486790652130では、Facebookユーザーのアカウント設定で

セキュアな接続(https)
利用できる場合は、セキュアな接続でFacebookにアクセスする

というチェックボックスが追加されたが、

今回は開発者アプリでのFacebookアプリのFacebook Integration設定で、
Secure Canvas URLとSecure Tab URLのフィールドが追加された。

このようなFacebookを安全な環境で使用するという試みの一環で、古いFacebook認証システム＆HTTPからOAuth 2.0＆HTTPSへの移行が進められてきた。そして、Facebook開発者ロードマップ（http://developers.facebook.com/roadmap/）が以下のように更新された。

新しいPHP SDKとJavaScript SDK（７月１日）：OAuth 2.0を利用できるように、PHP SDKとJavaScript SDKを更新し、（アクセストークンなしの）新しいクッキーフォーマットを持たせる。JavaScript SDKを直接参照している場合は、その変更は自動的に行われる。

OAuth 2.0への移行（９月１日）：すべてのアプリは、OAuth 2.0へ移行し、暗号化されたアクセストークンを受け取れないといけない。fb_sig パラメータを使用していたCanvasアプリは、code パラメータをセッションキーとセッションの秘密パラメータとして使用するように修正が必要だろう。

signed_request への移行（１０月１日）：すべてのキャンバスアプリはsigned_requestを処理しなければいけない（fb_sig は削除される）。そしてSSL証明書を取得しなければいけない（サンドボックスモードを除く）。これにより、セキュアな接続でFacebookにアクセスするユーザーにさらなる安心を与える。signed_request をデコードするPHPコードのサンプルと、詳細なドキュメントへのリンクがブログで紹介されている。

古いFacebook Connectの認証フロー（login.php）を直接使用している場合は、 OAuth 2.0へ移行する必要がある。JavaScript SDKを直接使用している場合は、自動的に変更される。

http://developers.facebook.com/blogからの最新情報。
テストユーザーのパスワードをGraph APIを用いてリセットできるようになった。
パスワードはテストユーザーが作成されたときにしか、返されないので、
パスワードを記録するか、必要となるたびにリセットして使用する。

テストユーザーを作成し、パスワードをリセットするPHPコードの例が記されている。

"https://graph.facebook.com/oauth/access_token?" .
"client_id=" . $app_id .
"&client_secret=" . $app_secret .
"&grant_type=client_credentials"
というURLにアクセスすることで、アプリケーションに対するアクセストークンを取得する。

"https://graph.facebook.com/" . $app_id
. "/accounts/test-users?installed=true"
. "&permissions=read_stream&method=post&"
. $app_access_token;

上で取得したアクセストークンを用いて、テストユーザーを作成する。

"https://graph.facebook.com/" . $obj->{'id'}
. "?password=" . $new_password . "&method=post&" . $app_access_token;

$objはテストユーザー作成のレスポンスとして返ってきたJSONをデコードしたもの。
$new_passwordは任意のパスワードを自分で設定することができる。

アプリケーションで作成できるテストユーザーの数も500に増えた。

商品購入の直前などでは、ユーザーにパスワードを再入力させたい時がある。
https://www.facebook.com/dialog/oauthやhttps://graph.facebook.com/oauth/authorize
での認証リクエストに以下のパラメータが追加された。

auth_type:必要となる認証機能を以下のオプションから指定する。
　　https：セキュアなクッキーの存在を確認し、存在しなければ再認証を要求する
　　reauthenticate：無条件で再認証を要求する
auth_nonce:リプレー保護を行うために、アプリケーションが指定した英数字のナンスを指定する。このパラメータはオプションであるが、auth_typeにreauthenticateを指定した場合は特に、指定することを推奨する。

フォーム上のボタンを押したときに、再認証のダイアログを出すPHPのサンプルコードが示されている。

http://www.atmarkit.co.jp/fsmart/articles/facebookappli01/01.htmlに書かれている、Facebookのプラットフォームでできること。
・「Facebookページ」という団体／企業／個人のためのプロモーション／交流用ページを作る。
・「ソーシャルプラグイン（Social Plugins）」と呼ばれるガジェット（例：「いいね！」ボタンなど）を配置することで外部のWebサイトをFacebookの一部のようにする。
・外部のアプリで、Facebook Graph APIを使用し、「ソーシャルグラフ（Social Graph）」と呼ばれるFacebookが持っている各種データにアクセスする。各種データとは、Facebook上のアカウントの基本データ（名前、写真、友達リストなど）やプロフィール情報といった固有の情報である。

http://www.atmarkit.co.jp/fsmart/articles/opensocial01/opensocial01_1.htmlによると、
「SNSが場所を提供し、開発者がそのうえにアプリケーションを作って提供する」という分業を最初に始めたのはFacebookである。Facebookは、「SNS利用者」「SNSオーナー」「アプリケーション開発者」の三者のメリットが合致したから成功した。

" SNSサービスのファミレス化（万人が納得するサービスしか提供されない）に飽きてしまう「SNS利用者」
" 利用者のニーズが多様化し過ぎて、対応に困る「SNSオーナー」
多くの利用者がいるのに、サービスを提供できない「アプリケーション開発者」

という問題が、Facebook APIによる、「SNSという場の運営」と「アプリケーション開発」の「分業」で鮮やかに解決された。

" 「SNS利用者」は、多くのアプリケーションを選択し、自分に合ったサービスを利用できるようになった
" 「SNSオーナー」は、外部アプリケーションを受け入れることで、リスクを取らずに多様なサービスをSNS利用者に提供できるようになった
" 「アプリケーション開発者」は、自分たちが得意なアプリケーションを作り（もしくは、あらかじめ作ってあるサービスと連携させ）、多くの「SNS利用者」に対してサービスを提供して収益を上げることができるようになった

各SNSが独自にAPIを提供すると、主なSNSにしか、開発者は対応できない。
そこで、Googleは「Facebook」以外のSNSサイトに、共通APIである「OpenSocial」の採用を働き掛けた、

「アプリケーション開発者」は、1つの共通APIに対応するだけで、OpenSocialに対応したすべてのSNSに対して、アプリケーションを提供する準備が可能となる。
「共通APIに対応するSNS側」にとっては、多くの開発者が作ったアプリケーションが手に入る。

http://www.facebook.com/help/?page=1096にFacebookアプリ開発に関するFAQがまとめられている。