Все, что на стороне клиента может быть подделано. Если вы используете какой-либо секретный ключ + подпись параметра, ваш алгоритм подписи должен быть достаточно случайным / безопасным, чтобы он не мог быть обратным инженером.
Накладные расходы, созданные с добавлением сложности на стороне клиента, лучше потратить на правильную проверку на стороне сервера.