Не думаю, что проблема безопасности кроется на стороне бэкенда. Бэк шифрует пароли и когда нужно проверяет, при этом или выдает или не выдает, например jwtoken+refresh токен. Слабым звеном, скорее является фронт. А точнее: где он эти токены хранит.

Как тебе удобней,так и делай. Всё равно при build webpack всё соберет и минимизирует (если используешь CRA). А лучше приступи к изучению styled components