Пытаюсь структурировать теорию по реализации SSO на базе OAuth2 и понимаю что не понимаю этот процесс до конца.

У нас есть несколько независимых веб приложений, одно из них (например A)выступает как OAuth2 Authorization и Resource server.
Второе веб приложение(например B) должно всю аутентификацию/авторизацию своих пользователей проводить через первое приложение которое выступает как SSO провайдер.
Взаимодействие клиентов с приложением B происходит только через REST endpoints которые оно предоставляет.

Задача — засекьюрить REST endpoints приложения B через OAuth2 приложения A.

Как должен выглядеть этот процесс, что после успешного процесса авторизации я должен сохранять на стороне приложения B для того что б все последующие запросы от пользователя к приложениею B не валидировать с приложением A?
Или же я в любом случае должен валидировать access token который будет приходить от пользователя приложению B с приложением A ?

Расскажите пожалуйста как правильно организовать этот процесс в вышеуказанной архитектуре системы. Спасибо