私はいくつかの質問を持っています? 1つのREST APIサーバーをコーディングしてバックエンドとして使用するほうがずっと簡単だと思います。Node.jsのは、REST API認証とのOAuth2
2)oauth 2標準でWebアプリケーション認証を作成すると、自分の秘密のトークンをCookieに保存するのに適していますか?私はこれがCSRFの脆弱性を引き起こすと思います。
passport.jsはFacebookやtwitterなどの秘密トークンを保存するためにクッキーを使用しています... この場合、CSRFはどうなっていますか?