Да так, решения:
1. всю информацию передавать по защищенному соединению клиент-сервер,
2. проверять access_token, для уменьшения запросов к апи вк, после успешной проверки access_token, сохранять его в аккаунте пользователя у себя на сервере, при последующих зарпосах сравнивать то что сохранили с тем что прислал пользователь.
Но тема компроментации данных на стороне клиента не должна решаться разработчиком, это забота пользователя.