K>Вынесли форму авторизации в отдельное приложение. При заходе на сайт он редиректит на авторизацию, там проводится авторизация и браузер возвращается на исходный сайт вместе с токеном сессии.

Не совсем понял, как токен переходит от сайта авторизации до конечного сайта, на который хочет зайти пользователь. Не могли бы Вы уточнить. Если он переходит кукой, то каким образом его передать, если сайт авторизации и конечный сайт находятся в разных корневых доменах?