微服务网关及OAuth2咨询

向各位前辈咨询几个问题，非常感谢！

网关一般是充当OAuth2资源服务器还是客户端？
web前端和app端使用密码模式访问认证中心，如何保证client密钥安全？
web和app是使用不同的client账号吗？
面向管理人员的后台和面向普通用户的前台，在工作中一般是用同一个网关、还是分开网关呢？
目前设计是规划网关/api-auth转发到认证服务、/api-user转发到用户服务、以此类推，假如某个服务中的某个接口是设计给内部服务调用的，因为上述转发是/api-user转发到用户服务是能访问用户服务的全部接口，如何实现某个接口不给外部访问呢？除了网关设置该路径过滤或转发成404、还有别的更好的办法吗？
问题4中如果前后台共用一个网关、如何区分后台？因为有些接口是只能后台用户访问的(目前设计是共用用户基础账号表，不同用户类型有专属的子表)。