¿Cuáles son las prácticas industriales estándar para algo como esto? Cómo
¿Podemos validar las puntuaciones en el servidor?
Depende de qué tan inteligentes sean tus usuarios. Una forma trivial para que manipulen los datos es usar un proxy (interceptor) para interceptar el tráfico saliente y alterar el valor de la Puntuación (TLS no puede evitarlo).
Una de las prácticas de la industria para evitar la manipulación y verificar la autenticidad de las solicitudes es utilizar JWT . JWT se usa ampliamente para la administración de autenticaciones de las API REST, sin embargo, también podría ayudar a resolver su problema. JWT firma todas las solicitudes y cualquier modificación de los datos en tránsito lo invalidará en el servidor.
Recuerde, como mencioné anteriormente, depende de qué tan técnicos sean sus usuarios. El uso de JWT solo detiene la manipulación de las solicitudes cuando salen de su aplicación. Con una rara posibilidad, un usuario todavía puede acceder directamente a la memoria y modificar algo (por ejemplo, cambiar la funcionalidad de un juego, sobrescribir un atributo, etc.).