Появилась еще идея делать следующим образом: при авторизации user1 получает api_token и ссылку на доступный ресурс и соединяет с текущим хостом, например location.host + '/app1'
И перед загрузкой каждой страницы делает проверку адреса страницы на соответствие маске location.host + '/app1'. Если маска не верна - делает редирект на страницу 404.html
Таким образом user1 не сможет попасть на app2
Это дешевле чем перед выполнением каждой страницы делать запрос к api на проверку доступа к странице.