En backend, siempre en backend! Yo te recomiendo que uses la libreria bcrypt con al menos 5 phases.

Mas allá de que se hagan validaciones en el frontend esto es solo para temas de ux, pero SIEMPRE tenes que validar todo en el backend, porque en web cualquiera puede abrir la consola de desarrollador y echar mano a tu código de frontend.

Si tu back y tu front están desconectados (supongo que si si usas angular y node) lo mejor es usar JWT. Las cookies o sesiones también sos suceptbiles a ataques de todo tipos, ademas que te generan cierto acople. Al usar JWT podes usar un único sistema tanto para web como para moviles i es que el dia de mañana portas tu aplicación con Ionic.

La validación debería ir en un middleware de express y se llamada antes de las rutas.