我有几个问题:node.js的REST API认证的oauth2
1)这是一个好的做法是使用REST API都为外部API的使用和服务器端的骨架(或纯JS)前端? 我认为编写一个REST API服务器并将其用作后端要容易得多。
2)如果我用oauth 2编写webapp认证标准是将我的秘密标记存储在cookie中的一种好方法?我认为这会导致CSRF漏洞。
正如我所看到passport.js使用cookie来存储例如Facebook或Twitter的秘密令牌...... 在这种情况下,CSRF如何?