как выполнять единый вход (SSO) между двумя веб-приложениями, PHP и Java EE?

У меня есть существующее веб-приложение Java EE, работающее на GlassFish 3.1. Вход в систему отлично работает через jdbcRealm, настроенный в GlassFish 3.1.

Кто-то из другой команды разрабатывает отдельное веб-приложение на PHP, начальник не хочет, чтобы пользователю приложений приходилось дважды входить в систему.То есть, когда они вошли в веб-приложение Java и щелкают ссылку, которая ведет их в приложение PHP, они уже должны войти в это приложение. (И наоборот.)

Не знаю, как это реализовать. Я думал, что могу сгенерировать длинный случайный ключ (токен), который генерируется при входе в любое приложение и передается в каждом веб-запросе любому приложению для идентификации зарегистрированного пользователя, но это не кажется безопасным.

Мне нужны указатели в правильном направлении.