Pokud chcete neprůstřelně ověřit, že odpověď je opravdu od vašeho serveru, je potřeba jí elektronicky podepsat. Váš server ji podepíše svým privátním klíčem, aplikace pak bude mít odpovídající veřejný klíč a pomocí něj ověří, že podpis sedí. Samozřejmě tím nezabráníte tomu, aby někdo vaši aplikaci u uživatele neupravil a příslušný test třeba nepřeskočil.
Pokud by vám stačilo ověřování na úrovni „uživatel může manipulovat s konfigurací sítě, ale nebude manipulovat se samotnou aplikací“, pak stačí provozovat ověřovací web na HTTPS a v aplikaci kontrolovat certifikát. Ale samozřejmě to musí dělat ta aplikace sama, pokud bude volat externí curl, není nic jednoduššího než podstrčit místo něj vlastní skript, který jenom vrátí jedničku.