问为web应用程序设置身份验证和授权的正确方法是什么？

EN

与我赤裸裸的，因为我试图抓住一个完整的堆栈网站作为一个开发人员建设它。以下是我的网站建设方法。

我有一个前端的web应用程序构建的反应。我打算用next.js/Vercel来托管它。从根本上说，本网站将以注册、登录访问网站功能、用户数据和评论为特征。(目前在当地托管)。

后端是用PostgreSQL构建在Express上的。在restAPI架构下。(目前在本地托管，与前端分离，稍后使用AWS/Heroku之类的)。

据我理解，前端将通过HTTP协议与后端通信。提供凭据后，快捷会话将实例化会话，并将会话cookie提供给客户端。

当我查阅后端快速服务器教程时，我经常看到快速服务器在同一域中提供restAPI、会话和html。显然，我已经将客户端和数据库端分开了。所以我想问，这是一种合理的/传统的网站建设方式吗？