Nem a kód elkéréséről szól a dolog. A google a saját rendszerén azonosítja a felhasználót, ennek folyamata titkosított, az alkalmazás nem láthatja. Viszont, ha az alkalmazás biztosít egy https böngészésre alkalmas felületet, akár ő is szolgáltathatja a "böngészőt" a folyamathoz.
Amit az alkalmazás megkap az egy token (meg esetleg némi adat), ami egyedileg kezelhető, visszavonható.
Hasonló token-t a felhasználó is előállíthat a böngészőjében ("alkalmazásjelszó"), ha az alkalmazás nem képes a fenti folyamatra. Lényeg, hogy az alkalmazás egy pillanatra se lássa a felhasználó jelszavát.