OAuth2: как аутентифицировать сам Авторизационный Сервер?
Допустим, ведётся разработка Авторизационного Сервера OAuth2 как отдельного приложения (в виде Reverse Proxy, проверяющего Access Token и пересылающего запрос на отдельный Сервер Ресурсов).
Допустим, и Авторизационный Сервер и Сервер Ресурсов размещены на публичном Облаке (например, как 2 отдельных приложения в Heroku), и доступны из Интернет.
Вопрос: Как наилучшим способом добиться того, что только Авторизационный Сервер (как доверенное приложение) мог бы соединяться и использовать Сервер Ресурсов?
В идеальной ситуации - без использования тяжёлых зависимостей в Сервере Ресурсов (таких как Spring Security).
Вариант с Клиентской Аутентификацией через Клиентский Сертификат отпадает - Heroku не поддерживает такой метод.
VPN так же невозможно обеспечить между приложениями в публичном Облаке.
Рассматривал Digest - но почему-то sha256 в Spring Security требует дополнительную конфигурацию (по умолчанию используется небезопасный md5), это как-то меня предостерегает от того, чтобы завязать решение на Digest авторизацию.
Средний
Простой
