Проверка ключа сессии в node.js

web-приложение состоит из 1 статического файла html, который после загрузки на клиент через apache 2.4 начинает взаимодействовать с приложением node.js, расположенном на том же сервере что и apache. Всё отл работает. Приложение внутреннее, для ограниченного круга пользователей.

Сейчас надо добавить безопасность. Настроил apache mod_auth_basic, прописал пользователей. Сейчас пользователь получит начальную страничку только после авторизации. Но остаются открытыми интерфейсы node.js, зная что туда отправлять можно много нехорошего натворить.

Я хочу при загрузке страницы сформировать хеш-ключ сессии (в php например, он тоже подключен), и передать его вместе со страницей на клиент, чтобы клиент передавал уже при обращениям к node.js. Но как правильно проверить ключ сессии на стороне node.js? можно конечно эти ключи в базу складывать или в файлы, но это нехорошо - нужен прямой и ясный путь как node.js может постучаться к php и проверить.

Я бы вообще отказался от php и сделал всё на node.js, но про сессии в node.js у меня знаний не хватает. Как лучше, посоветуйте пож.