Аутентификация в android приложении на Kotlin

Всем доброго времени суток, занимаюсь разработкой android приложения на kotlin(раннее конкретно в разработке для android опыта не имел). Приложение предполагает корпоративное взаимодействие пользователей, и собственно необходим следующий функционал - регистрация, аутентификация, регистрация. Чтоб не топтаться на месте, поясню, что с данными вещами я отлично знаком в web'е, но тут несколько вопросов:

1. Если делать с использованием jwt, где мне на клиенте хранить токены(тут сразу вопрос, нужно ли их 2? то есть access и refresh, есть ли риски кражи токена с клиента? я имею ввиду не перехватом запроса, а именно с самого клиента. К примеру в браузере куки относительно безопасны, а вот локал сторадж уже совсем нет)
2. Если делать аутентификацию через Гугл(либо другой сервис с использование протокола OAuth2.0), могу ли я получать данные пользователя со стороннего апи на свой бэкенд? то есть пользователь будет получать формочку для ввода данных, проходить аутентификацию, и далее получать уведомление что аутентификация прошла успешна, а данные пользователя уже в свою очередь я буду получать на свой бэкенд через колбэк. Возможна ли такая схема взаимодействия?
3. И в заключение, в общем есть ли в схемах аутентификации/авторизации в веб приложениях и андроид приложениях какие либо глобальные отличия?