Коробочной насколько я знаю нет, да и нет смысла делать ее коробочной по моему.
Если в двух словах можно считать так, есть сервис, аутентификация с которым проходит по всем "канонам", после завершения оной приложение в ответ получает token, это некий "ключ", может быть чем угодно, например случайной последовательностью символов, например GUID, данный ключ после считается аналогом "логин\пароль" и данный сервис может для другого проекта подтвердить является ли данный токен действительным и например с каким идентификатором он сопоставлен, таким образом сервису не нужно хранить пароли, достаточно хранить токены и логины. Это конечно все только для самопала как в первом проекте так и во втором.
