JS+Angular com autenticação por JWTs - como fica a segurança?

bom dia pessoal

estudando sobre modern web apps, angular e tals, separar em 2 projetos , onde tenho a UI apenas com HTML e JS e o acesso ao backend via web.api

estava indo "tudo bem" até que cheguei na parte onde achei que ia ficar com o pé atras mesmo, autenticação e manter o usuário logado.

utilizar local storage possui vários problemas de segurança em questão de alteração de dados, CSRF e XSS.

utlizar cookie, bem, se ativar o HttpOnly, teoricamente nao tenho acesso a essas informações via JS.

o que me leva a 2 perguntas

1)utilizar um cliente UI 100% não é seguro(isso é uma coisa que defendo a muito tempo, mas estou tentando pensar fora da caixinha), e se tiver uma aplicação na qual precisa de autenticação ou possui dados sensíveis, melhor nao seguir esse caminho

2)vcs conseguem manter a segurança de outra forma?

acho que é isso

falow