Ok, considera lo scenario in cui hai due progetti, uno è un'API RESTful e l'altro è un sito web pubblico.
L'API utilizza l'autenticazione basata su cookie / token e contiene tutta la logica della tua applicazione.
Il sito Web è costruito utilizzando una tecnologia MV * lato client, ciò che può o non può fare è basato sul ruolo dell'utente autenticato dall'API.
Ospitare HTML / JS / CSS del sito Web senza introdurre un terzo framework MVC è più veloce (e più economico).
Ad esempio, puoi avere l'API RESTful (magari costruita con Django) e un server che serve HTML / JS / CSS così com'è (diciamo che è Apache), o un'API RESTful e il sito Web stesso utilizza una tecnologia MVC lato server (come .net MVC) che limita l'accesso a HTML / CSS / JS in base al ruolo utente fornito dall'API.
Questo rallenterà le cose, ma è più sicuro? Vale la pena il sovraccarico di non consentire a qualcuno di attraversare il proprio codice lato client disponibile pubblicamente per non essere in grado di vedere come appaiono le pagine di amministrazione e quali endpoint API chiamano e come li chiamano, o è questa sicurezza attraverso l'oscurità?
Sicuramente un determinato utente malintenzionato potrebbe capirlo comunque usando uno strumento come il violinista mentre sfoglia le tue pagine pubbliche e poi analizza la tua API con un altro strumento?
Grazie