Úgy érzem még utána kellene olvasni, hogy mi is az az oauth2. Az nem úgy megy, hogy legenerálsz neki egy tokent, amit majd lement a telefon, és az küldözgeti. Eleve oauth2-re ugyan építettek authentikációs megoldásokat, de az alapvetően authorizációra van. Szerepel benne egy kliens (telefon), egy resource server (a webservice), és egy authorizációs szerver, ami kiadja a tokent, miután a user authentikált nála. Amitek most nincs. Ergo nem megoldjátok, csak kiszervezitek a problémát, mert valahogy authentikálnia kell az appnak, hogy legyen tokene.