isso vária muito, mais eu acredito que um dos possiveis fluxo sejá, o usuario pede a requisição de login e recebe os dados criptografados no localstorage mais quando ele precisar enviar algumas dessas informações para o back-end o front se encarrega de enviar a chave, onde só ele é possivel gerar, algo parecido com isso, sinceramente eu tenho que dar uma pesquisada mais afundo :L