前后端分离可以考虑下用token,登录时返回token给前端，前端每次访问接口带上token，然后后台解析token信息是否合法应该就行了。

使用NodeJS渲染Web页面，然后调用后端RESTful接口。
优点：
前后完全分离, 后端开发者可以专注于业务逻辑开发。
缺点：
NodeJS代码如果异常处理不好容易直接挂掉进程。
增加了部署和维护成本
对前端开发者技术要求比较高
增加了一层NodeJS，提高了网络传输的开销

我推荐一个简单实用又轻量的引擎
pac4j

优点

1. 简单
2. 轻量
3. 支持各种容器/框架
4. 支持认证
5. 支持授权
6. 支持角色/权限