Токен сеанса AuthSub никогда не истекает; проблема безопасности?

Я использую AuthSub GData, так что моему административному приложению не нужно хранить информацию о пользователе / ​​пароле. Я только что дошел до того, что в документации я узнал, как заменить первый одноразовый токен на токен сеанса ( http://code.google.com/apis/accounts/docs/AuthSub.html), И тогда это заявление выскочило на меня:

Вы можете игнорировать дату окончания срока действия, которая в настоящее время не используется; Сессионные токены эффективно не истекают.

Может быть, кто-нибудь захочет объяснить, что токен без срока действия не является проблемой безопасности? Что на самом деле означает "фактически не истекает"? Теоретически, если вредоносному приложению удается получить один из этих токенов, может ли оно продолжать его использовать независимо от смены пароля? Можно ли посмотреть, какие токены сессий были выпущены в настоящее время для учетной записи Google?

Короче говоря, моя паранойя завладела, и мне нужен большой умный человек, чтобы успокоить меня!

РЕДАКТИРОВАТЬ: вы можете вручную отозвать токены по адресу https://www.google.com/accounts/IssuedAuthSubTokens