Я настоятельно рекомендую использовать OAuth 2. Поток намного лучше для конечного пользователя, и намного проще реализовать нечто подобное.Кроме того, он использует токены на предъявителя, что означает, что вы можете поддерживать свою сторону сервера обновлений токенов там, где она действительно безопасна, и отправлять токены доступа на Android только тогда, когда они необходимы.
Недостатком этого подхода является то, что эффективнокаждый раз, когда ваше приложение загружается, ему нужно позвонить домой, чтобы получить последний токен доступа.Но, получив этот токен доступа, он может делать любые вызовы API, которые ему необходимы, непосредственно в API Buzz и Contacts.
Однако для этого вам не нужно передавать дополнительную информацию с помощью танца OAuth.Вместо этого вашему Android-приложению необходимо уже точно определить, какой пользователь выполнил вход в ваше приложение, а затем убедиться, что сервер только отправляет обратно маркеры доступа, связанные с аутентифицированным пользователем.Если у него нет обновленного токена доступа для этого пользователя, ему необходимо отправить запрос на сервер авторизации Google, чтобы получить последний токен доступа, а затем передать его клиенту.Так что, безусловно, есть большой потенциал для некоторой задержки, потому что это, как правило, синхронный вызов, но обычно это небольшая цена за преимущества, которые дает OAuth 2 по сравнению с OAuth 1.