Как защититься от получения токенов от имени моего ОК-приложения чужими мобильными приложениями?

Вопрос был про второй вариант — когда приложение ОК установлено на устройстве.

Серверная авторизация у меня уже давно есть, но хочется добавить и авторизацию через приложение ОК. Т.к. в приложении ОК пользователь уже залогинен, то, для получения токена, ему не придётся вводить логин/пароль как в случае с серверной авторизацией.

Но даже если бы передавалась - насколько этой информации можно было бы доверять? Нет никаких сложностей приложению-злоумышленнику выдавать один из прописанных ранее отпечатков вашего приложения.

Предположим, что ОК проверяет fingerprint приложения запрашивающего клиентский токен. Что тогда нужно сделать злодею, чтобы получить клиентский токен выданный чужому приложению? Злодей может извлечь app_id, app_public_key и fingerprint из моего приложения. Но для получения токена пользователя ему ещё нужен AUTHCODE получаемый из установленного приложения ОК. И если API Одноклассников не предоставляет возможности извлечь этот AUTHCODE или передать произвольный fingerprint, то злодей ничего не сможет сделать.

Вячеслав, спасибо. Вы ответили на мой вопрос, я понял, что пока в API Одноклассников нет нужной мне возможности.