Рекомендации по использованию веб-приложений Javascript

Мне сложно кратко и четко написать свой вопрос, поэтому позвольте мне описать, что я Я работаю с.

Я создаю веб-приложение, которое:

• имеет собственный API, размещенный на субдомене (https: //api.example.com)
• имеет основное приложение, размещенное на tld (https://www.example.com)
• tld не имеет доступа к базе данных, а вместо этого взаимодействует с API для работы с данными
• TLD аутентифицируется с помощью API через OAuth и сохраняет токен доступа и секрет токена доступа в сеансе.
  • по окончании сеанса токен доступа больше не используется, таким образом происходит выход пользователя из системы

У меня есть маршрут в tld (назовем его / ajax для этого вопроса), что javascript вызывает ( GET , PUT , POST , ИЛИ DELETE ) для выполнения запросов к API. Таким образом, никто никогда не должен видеть токен доступа, секрет токена доступа, ключ потребителя или секрет потребителя.

На мой взгляд, токен доступа и секрет токена доступа - единственное, что мне нужно хранить в сеансе, поскольку я могу получить все остальное с помощью API, но вместо того, чтобы делать вызов каждый раз для каждой части данных, которые мне нужны, я думаю, что некоторые вещи должны сохраняться, например, аспекты профиля пользователя, настройки макета и т. д.

Как мне лучше всего это сделать? Локальное хранилище? Печенье? Должен ли я отказаться от этого и просто хранить его в сессиях?

И если у вас есть время, какие еще есть лучшие практики для создания подобных сайтов, о которых я, возможно, не знаю?