>>604
一応アクセストークンには有効期限があるんで自動リフレッシュにすると大丈夫な記事もみますが(めんどいので未検証)
ただ、結局アクセストークンにしてもプログラムに組み込んでいるわけで、これも結局は匿名のアクセスと何ら変わらないのだと思います

もし厳格にするならDLしてもらったユーザーにメールでアクセスIDなり発行して
それをアクセスの際に渡すようにしてチェックすればいいのかなと思いますが

どうしてもチート対策で匿名アクセスを嫌うのであれば
FireBaseとかPlayfabとかのBaaS環境も考慮してみるのもいいかなと思います