Поскольку клиент может отправлять любую информацию на сервер, хорошей идеей является не доверять ей. Поскольку оценки, как правило, являются способом объективно определить мастерство игрока, предоставление игроку возможности определить свой собственный счет напрямую подорвало бы функцию оценки. Таким образом, оценка определяется независимой стороной; сервер.
Если бы Facebook не требовал токена access_token, другим играм было бы очень трудно зафиксировать результаты. Вы могли бы попросить разработчиков Facebook SDK добавить небезопасную альтернативу Facebook SDK, но адаптировать ваши игры для использования безопасного метода, вероятно, проще.
Я бы порекомендовал создать систему, в которой выбор, сделанный игроками, отправляется на сервер, где они проверяются, и где счет вычисляется и отправляется в Facebook. Для простой викторины эти варианты - просто выбранные ответы, в сложной трехмерной игре они могут включать все движения и взаимодействия с миром.
Если об исключительных сценариях сервера действительно не может быть и речи, вы можете сократить его до одного сценария на сервере, который передает счет, отправленный клиентом в Facebook.