Вопрос относительно единого выхода:
Единый выход использует протокол HTTP для уведомления всех клиентских приложений. Как следует действовать в случае, если уведомление одного из клиентов провалится? Нужно ли внедрять механизм повторной попытки или использовать более надёжный протокол для уведомлений?

Вопрос относительно краткого описания OAuth2:
https://sa-token.cc/doc.html#/oauth2/readme

OAuth2 кажется реализует проблему аутентификации множества клиентских приложений без необходимости повторного входа, но не решает вопрос доверия между различными клиентами. Например, клиент A может войти через OAuth-server, клиент B может войти без необходимости повторного входа, но клиент A всё равно не сможет вызвать API клиента B напрямую. Модель SSO должна обеспечивать как возможность входа без повторного входа, так и взаимное доверие между различными клиентскими приложениями.