OAuth2: как аутентифицировать сам Авторизационный Сервер?

Допустим, ведётся разработка Авторизационного Сервера OAuth2 как отдельного приложения (в виде Reverse Proxy, проверяющего Access Token и пересылающего запрос на отдельный Сервер Ресурсов).

Допустим, и Авторизационный Сервер и Сервер Ресурсов размещены на публичном Облаке (например, как 2 отдельных приложения в Heroku), и доступны из Интернет.

Вопрос: Как наилучшим способом добиться того, что только Авторизационный Сервер (как доверенное приложение) мог бы соединяться и использовать Сервер Ресурсов?

В идеальной ситуации - без использования тяжёлых зависимостей в Сервере Ресурсов (таких как Spring Security).

Вариант с Клиентской Аутентификацией через Клиентский Сертификат отпадает - Heroku не поддерживает такой метод.
VPN так же невозможно обеспечить между приложениями в публичном Облаке.