De a token is egy cert kb...
Mit feltételezel, mi törhető fel?
Ha a telefon adattárát feltételezed feltörhetőnek, onnan a token meg a cert is ugyanúgy kijön. Nem tudom, a Google ad-e valami safe storage API-t, a kínai vackokon tuti nem lesz.
A token mindig userhez köthető.
A hálózati forgalomban HTTPS esetén a kliens és a szerver megegyeznek egy session kulcsban, szerintem az access token-t nem tudják lenyúlni sima MITM-mel.
Nem látom hogy mi lenne a logikai különbség a cert meg a token közt, nem tudom hogy szimmetrikus-e az access token OAuth2-ben de szerintem nem, az nem megy át a hálózaton csak úgy.
Azt viszont látom hogy amint be kell rakni egy load balancert vagy bármit át kell állítani az infrastruktúrán akkor az utódod a custom megoldás szerint vagy rábeszéli a céget hogy ezt hagyják így és a plusz szolgáltatások menjenek valami máson, vagy nem nyúlnak semmihez évekig mert nem mernek, vagy szenvednek.