На самом деле, это частая практика - выделать в отдельный микросервис сервис авторизации и аутентификации. К примеру, OpenID именно так и задумывался.
Если сервис ляжет, то у вас две потенциальные проблемы: клиенты не смогут получать новые токены, а апи сервисы не смогут валидировать токены от клиентов. От первой проблемы вы никак не избавитесь. А вторая может быть решена использованием JWT токенов, благодаря наличию подписи, апи сервисы могут провалидировать токен самостоятельно, не обращаясь к сервису авторизации.
Простой
Средний
