保护javascript前端/ REST后端架构网站的最佳方法？

我想构建以下项目：

• 公共 REST API 后端，可由任何经过身份验证的客户端访问
• 前端在 HTML/CSS/Javascript 中使用带有 Backbone 的静态文件.js jQuery 对 REST 后端的调用

实际上，在我的体系结构中有三个方面：前端，它是后端的客户端，后端和想要在前端登录页面上进行身份验证的用户。

保护此体系结构中涉及的三方的最佳方法是什么？

事实上，我相信如果我在javascript中完成所有操作，就不可能在前端做一个安全的应用程序，所以我打算将身份验证/授权委托给我的服务器前端的代理层。对此，你怎么看？

我打算使用OAuth来保护我的REST后端，但我不确定我是否必须使用2或3条腿的实现。在这种情况下，正确的方法是什么？

更新 ：在SO网站上搜索更多内容时，我发现了这个线程，这正是我想做的，除了我想在服务器端使用Java而不是DotNet。如果我理解得很好，事实上我的网站就像我的REST API的任何客户端一样，除了它是唯一有权创建新用户帐户的客户端。因为，如果我的REST API只能通过OAuth访问（就像Twitter的一样），那么谁可以执行用户帐户的创建？我说的对吗？