Ambos son seguros, yo he usado ambos metodos. Pero de todas formas, si usas javascript vas a necesitar del SDK php de facebook para comprobar que es un login real, cualquiera por ajax puede enviarte datos falsos a tus scripts. Por eso tienes que revalidar con PHP luego el acces token.