Angularjs oAuth&客户端的已签名请求

我运营一个基于Twitter API的网站。用户登录，站点代表每个用户进行可定制的搜索查询。到目前为止，我使用了一个自动组装oAuth1.0a授权头并通过代理发送它们的服务。最近，这项服务改变了他们的商业模式，我负担不起让我的网站对用户免费的服务

我的网站是用meanstack构建的，目前定制的Twitter查询是在客户端组装的，例如：特定的Twitter搜索词。我知道如何组装标头，但我担心消费者密钥的安全性。我的问题是：如何在不泄露消费者秘密的情况下组装标题

最好是：

将用户凭据传递到my express API，在那里组装标头，然后将其返回到客户端？ 将所有内容传递给express API，从后端发送Twitter API请求，并将结果返回到前端？ 加密使用者机密并将其传递给客户端以在那里构建授权头？ 除了安全风险之外，我还担心用请求敲打我的API，因为一个用户每15分钟可以发出多达150个twitter API请求。在某个时候，我想重新设计我的站点，在后端构建和缓存查询，但我需要尽快找到临时修复

谢谢