Как использовать ACL с аутентификацией OAuth

допустим, у меня есть 2 разных веб-приложения. SMSGate и VideoSite.

На обоих сайтах я использую OAUTH-аутентификацию с собственным OAuth-сервером (на основе https://github.com/bshaffer/oauth2-server-php)

У меня есть пользователи A и B, где A имеет доступ к обоим приложениям, а B имеет доступ только к SMSGate.
Как я должен ограничить доступ пользователя B к приложению VideoSite?

Через область OAuth? или с ACL внутри каждого приложения?

Спасибо за ответ.