Klar, ist so angekommen. Eigener Server ist schon die halbe Miete.

Das was am meisten Kopfzerbrechen macht ist das sichere Authentifizieren. Und idealerweise verläßt kein Benutzername und kein Passwort das Gerät, auf dem man sich anmeldet.
Vorteil: der Server muss weder Passwörter speichern, noch sich mit der Anmeldung befassen. Er erhält nur noch ein Identifikations-Token von der App, das Google anhand des Benutzerkontos (Profils) auf der App ausgestellt hat.

Im Gegensatz dazu sind alle Verfahren, die über OAuth 2.0 arbeiten, auf einen Server einer dritten Partei angewiesen, bei der man zuvor ein (weiteres) Konto eingerichtet haben muss. Und man meldet sich über einen Webbrowser bei dieser dritten Partei an - mit Benutzername und Passwort. Nur falls man dort aktuell schon angemeldet ist, entfällt die erneute Anmeldung.

Fazit: am sichersten ist es, die Authentifizierung direkt von iOS oder Android ausführen zu lassen, und danach nur noch ein vom Betriebssystem erzeugtes Identifikations-Token zu verwenden um mit dem eigenen Server zu kommunizieren.