Dudas del login de Facebook

Buenas!,

Estoy terminando un login de Facebook en una web y la verdad es que tengo las siguientes dudas:

- El login me devuelve un ID de usuario. ¿Ese ID es único por web y usuario verdad?. Si el mismo usuario se registra en otra web tendrá otro ID?.

- ¿Cómo puedo saber que el login viene de Facebook?, es decir, el login es simplemente enviarme al servidor ese ID... así que alguien podría enviarme el ID de un usuario... y hacer login. Me pregunto... si el ID es suficientemente seguro.

Estoy actuando de este modo:

-Se carga la API de fb.
-El usuario clica en login de FB.
-Me llega el ID... lo almaceno en MYSQL con ajax.
-Creo un cookie para decir que ya esta logeado.

Es decir:

- Tengo que comprobar SIEMPRE si cualquier usuario esta logeado en FB?.

:)

Estoy bastante perdido... y estas cosas no las ponen en el manual... así a las bravas.

Y otra pregunta... que no sé como haréis vosotros, jeje.

Caso:

Un usuario se logea con FB en mi web. Por lo que dejo de mirar con la api de FB si esta logeado... ya que lo tengo logeado con mi sistema de cookies. De este modo no tengo llamadas JS con cada petición.

Pero entonces el usuario se desconecta de FB. Mi servidor no se entera de que se ha desconectado , ya que no hago llamadas con cada petición.

¿Como actuar en este caso?... veo que AIRBNB actúa igual que yo... y como no se entera de que FB ha cerrado la sesion el tampoco la cierra.

:D

¿Vosotros como actuais?