Читать документацию по VK Mini Apps, раздел
Подпись параметров запуска. Там же ссылки на примеры реализцию проверки подписи.
Пользователь приходит с
кучей параметров, в числе которых
user_id и подпись запроса
sign, которую
надо у себя на сервере проверять. Она завязана на «секрет» приложения.
Так можно убедиться, что пришёл именно тот пользователь и параметры не подделаны.
Далее эти же параметры можно передавать и с каждым API-запросом, а в обработчике снова проверять их.
Либо, чуть сложнее, генерить временный уникальный ключ, хранить у себя в БД/Redis, и его передавать в заголовках всех API запросов.
