Как оказалось, можно так:
1. В OAuth2Authenticator в Redirection endpoint : http://localhost
2. Ловить webform.lasttitle, например, таймером так:
procedure TForm2.TimerGetAuthCodeTimer(Sender: TObject);
var
tokentoedit: string;
begin
{$IF DEFINED(ANDROID)}
if Pos('localhost/?code=', webform.LastURL) > 0 then
begin
AuthCode := Copy(webform.LastURL, 24, Length(webform.LastURL));
if (AuthCode <> '') then
begin
editactoken.Text:= AuthCode;
webform.close;
TimerGetAuthCode.Enabled:=false;
end;
end;
{$ENDIF}
end;