Не совсем понимаю почему они должны быть на одном сервере. Просто запросы должны подписываться токеном.
А сам сервис может быть распределен по разным нодам, а там уже дело в реализации и где хранить токены для юзеров.
Можете больше почитать вот тут:
https://www.owasp.org/index.php/Cross-Site_Request...