1.Auth сервер и создаётся для предоставления Api внешним сервисам, для аутентификации и взаимодействия с ними. В вашем проекте, кто то создаёт клиентское приложение, и с помощью вашего api взаимодействует с ним, скажем с помощью passport вы проверяете права внешних сервисов к вашим методам api. Теоретически вы можете разместить api отдельно, но стоит учитывать например дополнительные запросы и т д. Так же можно переопределить все маршруты passport. 2.Не совсем понял вопрос. Если вы хотите запретить через api, то на запросы с мобильного приложения можете добавить заголовок или генерировать какой нибудь ключ, который отвечает 100%, что запрос сделан из телефона. А по факту клиента может создать любой человек из браузера. Надеюсь ответил , удачи.