Quando usi un'app mobile che richiede l'accesso a Google OAuth, non ti puoi fidare completamente dell'app di terze parti perché non puoi sapere quale URL sta usando la webview. Chissà se non stanno memorizzando il mio nome utente e la password sul loro server, quindi lo passiamo a Google OAuth.
Cambiare la password immediatamente dopo il login OAuth aiuta a ridurre un po 'il rischio? Se ho capito bene, la terza parte avrebbe comunque il proprio token per l'accesso limitato alle API, ma almeno non la password principale per il mio account Google (anche se lo stanno memorizzando in modo errato).
Su una nota correlata: su Android, non ho dovuto effettuare nuovamente il login per OAuth per un'app di terze parti, potevo semplicemente selezionare l'account Google che era già registrato sul telefono. Ma su iOS, le app di terze parti che utilizzavo richiedevano un accesso a Google OAuth tramite webview. È possibile che le app iOS abbiano l'OAuth "integrato" senza accesso?