Você precisa pensar em separar o aplicativo como um aplicativo de desktop autônomo (que atua como um aplicativo do lado do cliente) do servidor para sua API e lógica de back-end que são hospedados por um provedor de nuvem.

Ao fazer isso, você pode se concentrar na separação de preocupações para o aplicativo de desktop (elétron), além de garantir que os servidores (como API, autenticação e outra lógica de back-end) sejam bem otimizados e funcionem como vários trabalhadores por si mesmos.

Existem algumas preocupações de segurança com o desenvolvimento de um aplicativo Electron se você não atualizar regularmente sua versão do Node (como ataques de estouro de buffer de memória).

Outra questão a ser considerada é como a comunidade Electron atende e resolve problemas de permissões para o aplicativo do lado do cliente e as permissões de arquivo regulares que são concedidas quando o usuário instala seu aplicativo.

Como desenvolvedor, você tem o ônus de garantir que bibliotecas de terceiros não danifiquem o computador do usuário. (imagine instalar uma dependência de biblioteca cujo objetivo é excluir maliciosamente todo o sistema de arquivos).

Para autenticação, você pode fornecer respostas de sua API com base nas solicitações/postagens do lado do cliente que você fornece ao serviço de autenticação. Você não precisa necessariamente fornecer/instalar o servidor de autenticação em seu aplicativo Electron, pois isso pode ser um pouco problemático para o usuário atualizar, além de expor seu serviço de autenticação para outras pessoas fazerem engenharia reversa/crack.