​​Смотрите, вот есть Spotify.
И есть у него очень классный API с обычной OAuth авторизацией.

Создаёшь приложение, выдают client id и secret key, можешь авторизовывать пользователей через специальную страничку, получать их токены и управлять музыкой. Secret key, кстати, нельзя никому давать, его надо использовать только на серверной стороне, сам Spotify об этом пишет в документации (скрин ниже).

Кстати, Spotify сам использует свой же API и OAuth авторизацию в официальных приложениях. Это хорошая практика, чтобы не городить велосипеды, ну и мотивирует держать публичный API свежим.

А теперь прикол: у меня есть client id и secret key от официального приложения Spotify for Android TV, на котором разрешены всякие особые scope и прочие радости.
Случайно получилось, клянусь.
Вопрос: что весёлого можно с этим секретным ключом сделать? Пока ничего в голову не приходит.