1. Версия клиента (зашитая в JS клиент) и токен-генерация (md5cram hmac с формулой на основе версии клиента)
2. JS-обфускация.
3. Периодическое обновление кода клиента.
Больше - ничего не спасёт особо.
Зачем?!
Если юзер, значит уже есть сессия.
А если есть сессия - значит параметры юзера сервер уже знает.
Зачем знать их браузеру?!
Храните в серверной сессии всё что нужно после авторизации и всё.