Qt не костыльный метод, собственно насколько знаю, Qt самый адекватный и актуальный способ делать gui на плюсах.

https://gist.github.com/zmts/802dc9c3510d79fd40f9d...
Отдаешь два токена и время жизни access token, которое обычно минут 30.
Соответственно если угоняют access, то он стухнет через пол часа, а если угонят оба, то юзер не сможет обновить по реврешу, его кинет на перелогин и тогда у угонщика все стухнет.