OpenSocial系のJSのAPIは、それをvalidationするための仕組みがないので、Persistent APIなどで、個人が書き換えすることがアプリとして許されるデータ以外は保存しないというのが基本方針。

これはassanouさんが書かれてるグリモンを見れば、どんなことができるかはわかる。
http://d.hatena.ne.jp/asannou/20090416

コンテナ側でチェックさせる仕組みがないわけで、クライアントから送られたものを検証するすべがないので、改竄されてても検証されようがないと。課金が絡まなければ、どうでもいいとは思うのだけれど、こういうのは公式にガイドとして提供されるべき情報だろうなぁと。

stが外部サーバ上でどのアプリに対して発行されたものかを検証するための方法というのは、是非知りたいなぁ。