Estou tentando entender a criação de uma API REST baseada em express.js / node.js. Eu tenho algumas perguntas ...

PRECISO de segurança baseada em tokens / oauth 1 ou 2 para minha API, se estiver preocupado apenas com um aplicativo Web no momento (não necessariamente aplicativos para telefone)

Existem recursos para aprender a construir isso do zero? Eu li literalmente as 3 primeiras páginas do Google "descansa a API com oauth2 authentication express.js" e ainda não entendi.