Очень приятно, что gapi API может удерживать пользователя в системе, но я хотел бы понять, как он это делает.
В документах для разработчиков указано, что
Затем, если пользователь уже вошел в систему, объект GoogleAuth восстанавливает состояние входа пользователя из предыдущего сеанса.
Единственный известный мне способ сделать это — использовать токен обновления, который небезопасен, если хранится на клиенте.
Как это достигается с помощью gapi-api?
Я бы сослался на исходники, но не не думаю они открыты.