человек допустим в приложение нажал кнопку отправить игровые средства, делается запрос к серверу с идентификатором пользователя, идентификатором пользователя кому отправляют деньги, сумма перевода и сервер отправляет ответ "ОК" , делает запись в базе данных, то есть изменяет количество игровых средств. Но посторонние люди могут узнать URL, куда отправляется запрос и переводить игровые средства себе от других пользователей.
На клиентской части вы никак защититься не сможете, вся защита должна быть на сервере.
Ответ же прост -
аутентификация и
авторизация. Вам нужно сначала по запросу понять кто его сделал, а потом определить, имеет ли этот человек право на выполнение запроса.
Например, для действия "отправить средства" нужно проверять, что деньги отправляются со счёта, принадлежащего пользователю. Если нет - не давать выполнить действие.
