все те же что и для любого сайта - sql иньекции в первую очередь. но поверь человеку разрабатывающему гос. проекты - если даже мои никто не пытается взломать, то твои вообще нахрен кому сдались.
это разные вещи - чтобы заходить по OAuth через твое приложение оно должно получить подтвержение - client_id/client_secret используются для формирования запроса для пользователей. В общем читай спецификацию OAuth2 или описание к гугловским адаптерам https://code.google.com/archive/p/oauth/
nodejs генерит js, apache(или что там у тебя)/php - php. максимум что ты можешь на dev - это использовать менеджер для сборки(phing, vagrant , ant) и запускать сервера вместе.
pthreads в помощь + надо понимать что подобные проекты из коробки не заточены под выконагруженные проекты и ты даже не догадался переключится на ngnix из той же коробки..
