1)devono proprio condividere il token di accesso. l'obbiettivo è fare un app superiore desktop con i link alle varie app ma un utente potrebbe accedere direttamente al link di una app e poi passare ad un altra. Quindi è condivisa la login page e quind il token restituito che deve comprendere le attestazioni dei permessi/ruoli sulle app. ho fatto la prova e devo condividere lo stesso client.
Diverso invece il discorso se inserisco una api di scambio dati o una app che non deve condividere il token.

2)ho visto che è un pò complicato e quindi penso di fare anche io un progetto separato. rimane più pulito il tutto.

Grazie per tutte le info :)