Ну это я так понял вы говорите про этап, когда уже клиент предоставляет токен сервису.
А я имел ввиду, скажем так, как заставить клиента этот токен с сервера авторизации "принести" на сервис. И здесь, как упоминал в вопросе, я вижу два варианта, первый это после логина редиректить на а-ля service.com/login?token=123 (далее, из GET он разумеется изымается), или, второй - создавать форму, и передавать его через POST (но тогда прямой редирект я сделать не могу, необходима промежуточная страница).
Насчет сессии понял, спасибо за совет, и вправду перемудрил с хранением токена. Еще хотелось бы еще ответ на основной вопрос, не сомнительно ли передавать токен через GET?
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.