Защиты не существует. Всегда можно взломать apk или ipa и подсмотреть что там к чему. Мы тоже сделали подписывания и https, но это скорее от тех, кто захочет нас раскусить за пять минут. Кому надо — вскроет. Мы к этому готовы.
OAuth тут вообще ни о чем.
