针对Oauth服务器的客户端MVC（javascript）-混乱

我们将用javascript（angularjs）编写一个客户端mvc应用程序。在服务器端，我们运行node.js来为模板等提供服务。。我是这个故事的“前端”部分的新手-我是“典型的”java后端家伙-所以提前道歉；-）

我想对我们自己的基于oauth的内部RESTAPI进行身份验证和对话。我可以让握手开始工作，而且基本的设置似乎正在工作

我的问题是：我应该把所有oauth握手和“包装”代码放在哪里

到目前为止，我已经找到了以下解决方案：

让我们假设客户端和服务器端都是用javascript实现的，“真正的服务器”是一个jetty，提供由oauth保护的RESTAPI

客户端（js）->服务器（node.js）->服务器（jetty+oauth）

client->node.js->完成所有oauth工作

客户端->直接到jetty服务器

第1版。具有保护api和oauth处理的所有细节的好处（因此查看html/js源代码的人都看不到这一点）

版本2。具有跳过中间层的优点，但每个人都可以看到oauth密钥/机密

我希望你明白我的意思。对于在用户浏览器中运行的客户端mvc应用程序所需的安全api，是否有详细说明“最佳实践”的指南/教程

非常感谢您的帮助

干杯 马塞尔