Ну с дебагом и продом понятно, а захардкодить токен нельзя, он меняется каждый раз, после коннекта к сервису. И когда перезапускается из студии SharedPreferences перезаписывается. Может хранить где-то в другом файле, который бы не удалялся бы при перезаписи приложения? Где? И не понял, что Вы имеете ввиду "локальный прокси", некую службу?
Права доступа конечно проверяются. Но "хакер" может подставить скажем новые ид и цену товара (это только простейший пример). Права на доступ к методу сервера у него есть, он легитимный клиент, но вот покупать этот(новый ид) товар ему нельзя. Конкретно это можно проверить на сервере, но подобных и сильно отличающихся объектов м.б. много. Ищу нечто универсальное. Ничего не нашел. Придумал то, что придумал и написал. Понял, что изобрел велосипед. Это называется "Encrypted Token" Ну что же, главное теперь сделать колеса круглыми. Всем спасибо.