Допустим есть 3 сервиса:
* main
* oauth
* poll
* notification

В main юзер логинится через oauth2 протокол используя сервис oauth
Получаем юзера с oauth token на main сервисе.
Дальше ему в main через iframe показывается poll сервис.
И так же в main подключается динамический js из notification сервиса.

И poll, и notification хотят oauth token, чтобы можно было вывести свой контент опираясь на юзер данные.

У меня два варианта:
1) передавать oauth_token прямо в url`е - но это небезопасно раскидывать токенами
2) либо poll и notification должны автоматом редиректнуть на oauth для автоматической авторизации и получить каждый свой oauth token. Но тут стоит вопрос - как они должны узнать что юзер авторизирован на oauth? Редиректить всех подряд - накладно (у нас только 0.1% пользователей зарегистрированы)

Может кто знает более красивые решения? Или хотябы решение 2го пункта?