graph api のアクセストークンには、
短期と長期で制限時間があるトークンが存在します。

参考リファレンス↓
https://developers.facebook.com/docs/facebook-login/guides/access-tokens/get-long-lived

iOS、Android、JavaScript SDKを使用する場合、ユーザーが過去90日以内にアプリを使っていれば、SDKは自動的にトークンを更新します。FacebookのSDKを使用するネイティブモバイルアプリは、約60日間有効な長期ユーザーアクセストークンを取得します。これらのトークンは、アプリを使用する利用者がFacebookのサーバーにリクエストを行うと、1日に1回更新されます。リクエストがまったく行われないと、トークンは約60日後に有効期限切れとなり、新しいトークンを取得するために、利用者はログインフローをやり直す必要があります。

で、上記のリファレンスにも載っているように、どうやら、
60日以内に使えば、使ったその日から60日間後に再設定されるようですね。

ということは、ほぼ永続的に更新し続ける事が可能のようです。

これはセキュリティ的にどうなのか？

と思ってしまうが、ユーザーが少ない場合は気にしてもしょうがない。
ということで敢えて気にしません。

ただ、ちょっとだけ気になった事があるので
そこだけ検証します。

それは、

1. ログインしてアクセストークン１を取得
2. 再度ログインしてアクセストークン2を取得
3. 1,2それぞれで取得したアクセストークンで使えるのはどっちか
   という事ですね。

で、やってみた結論、、、

両方で取得出来てしまった・・・

やばい、ガバガバやw

（...）

というか、そんなもんか。

よく考えたら全然違うクライアントから同じログインをする可能性も無きにしもあらずって感じがするし
問題ないような気がしてる。

という事は問題ないのかぁぁぁ。