В соответствии с документацией на Facebook приложение отвечает за удаление запросов, как только пользователи их приняли. В соответствии с Facebook приложение должно объединить идентификатор запроса с идентификатором пользователя, чтобы удалить запрос. Однако, если пользователь еще не аутентифицировал приложение, невозможно получить идентификатор пользователя.
Как подойти к этой проблеме?
В документации на Facebook указано:
Когда пользователь перенаправляется в ваше приложение, нажав кнопку "Принять запрос" вы должны удалить запрос после его принятия. таким образом, ответственность разработчиков заключается в том, чтобы очистить их после их принятия
Обратите внимание на часть "после ее принятия" - это означает, что вы несете ответственность за удаление запроса ТОЛЬКО, если оно было принято.
В документации вы несете ответственность за удаление.
Документы говорят, что вы можете использовать либо токен доступа к вашему приложению, либо токен доступа пользователя. Поэтому, если пользователь вошел в систему, просто используйте токен доступа пользователя. Если пользователь не выполнил вход в токен доступа к приложениям.
DELETE https://graph.facebook.com/[<REQUEST_OBJECT_ID>_<USER_ID>]?
access_token=[USER or APP ACCESS TOKEN]