So wie ich das sehe kommst nicht drum herum, auf der seite des Spiels zumindest eine Tabelle mit Hashs zum prüfen anzulegen. Dann kannst du ohne Probleme z.B. den Benutzernamen und einen dazugehörenden Hash im Link senden und prüfen ob das ein "berechtigter User" ist.

mal wieder edit: Den Hash natürlich nicht aus dem Benutzernamen erzeugen sonst kann jeder unter jedem Namen ne Runde zocken