What are the standard Industry Practices for something like this. How
Can we validate the scores on the Server?
Dipende da come sono esperti i tuoi utenti. Un modo banale per manomettere i dati è di usare un proxy (intercettazione) per intercettare il traffico in uscita e manomettere il valore del punteggio (TLS non può impedirlo).
Una delle pratiche del settore per impedire la manomissione e verificare l'autenticità delle richieste è utilizzare JWT . JWT è ampiamente utilizzato per la gestione delle autenticazioni delle API REST, tuttavia, potrebbe anche aiutare a risolvere il problema. JWT firma tutte le richieste e qualsiasi modifica dei dati in transito invalida il server sul server.
Ricorda che, come ho detto sopra, dipende da come sono tecnici i tuoi utenti. L'utilizzo di JWT interrompe solo la manomissione delle richieste quando si discostano dall'applicazione. Con una probabilità molto rara, un utente può ancora accedere direttamente alla memoria e modificare qualcosa (ad esempio, modificare una funzionalità di gioco, sovrascrivere un attributo, ecc.)