简单说下我之前一个项目的方案，一个node做前端服务器和中间层，包括所有前端页面渲染都是node处理，后端rails做API，用OAuth2.0做身份验证和api scope。比如账号密码登录的场景，node拿到用户的账号密码后，请求上游api服务器做验证，api生成access_token和refresh_token，会有一张表专门存access_token、refresh_token和user id的对应关系。另外需要缓存一份这个数据到redis，因为前端cookie需要由node设置，cookie里面有sessionid，所以需要由node去操作redis，sessionid做key，access_token、refresh_token和userid和其他用户信息做value。在这个场景下，因为已经做了前后端分离，node作为中间层应该全权负责所有和前端交互的事情，前端应该完全不知道后端api的存在。