hola,

No entiendo como esta planeado tu app, al cliente que se conecte le das las credenciales requeridas, estas de ninguna forma son mandadas al cliente..

Cuando tu cliente haga alguna petición que sea importante , compruebas en tu servidor si el cliente tiene las suficientes credenciales para finalizar la petición, así aunque alguien en el cliente lea tu código e intente engañar al servidor o no esta conectado en el dominio que tu app haya permitido su petición no tedra ningún éxito.

Ahora es un juego, no entiendo lo suficiente si aya la posibilidad de engañar en la puntuación que lleve...

Para asistir mejor, seria bueno ver que clase de datos son enviados y determinados en el server y que posibilidad hay que sean fácilmente falsificados..

Un pointer o un hash creado en el procesador y nunca enviado al cliente pero solo que el cliente obtenga un hash que haya sido encriptado por algún hasher con sha512 o u otro y que sea cambiado basado al pointer original, no seria mucho proceso la comparación, talvez un poco en la creacion nueva basada en el pointer original cada vez que la peticion del cliente aya sido satisfactoria..

La verdad nunca e echo un juego así que son solo ideas que estoy pasando..