Cuando usa una aplicación móvil que necesita un inicio de sesión de Google OAuth, no puede confiar completamente en la aplicación de terceros porque no puede saber qué URL está usando la vista web. Quién sabe si no están almacenando mi nombre de usuario y contraseña en su servidor y luego pasándolos a Google OAuth.
¿Cambiar la contraseña inmediatamente después del inicio de sesión de OAuth ayuda a reducir el riesgo? Si lo comprendo correctamente, el tercero aún tendrá su token de acceso limitado a la API, pero al menos no la contraseña maestra de mi cuenta de Google (incluso si la están almacenando de manera incorrecta).
En una nota relacionada: en Android, no tuve que volver a iniciar sesión en OAuth para una aplicación de terceros, solo podía seleccionar la cuenta de Google que ya estaba registrada en el teléfono. Pero en iOS, las aplicaciones de terceros que utilicé requerían un inicio de sesión de Google OAuth a través de la vista web. ¿Es posible que las aplicaciones de iOS tengan el OAuth "integrado" sin iniciar sesión?