Я решил сделать проще. Что бы не создавать куча клиентов... будут только те клиенты в Auth0, которые являются личными (сайт, клиент на телефон) и имеют полный доступ. А для тех, кто хочет использовать API, не нужно будет никакой авторизации.
Где то так:
app.route('/api/', (req, res)) //Публичный роут, для внешних запросов.
app.route('/api', checkAccess, (req, res)) //Роут, доступный только для личного
использования. (из своего сайта, своей программы на телефон).
Как мне кажется, это лучше, чем создавать много клиентов. Имеет ли место быть такое решение?