Javascript no es Java, sino una especie de código C++ que se ejecuta del lado del cliente. Tu servidor envía el código fuente y es ejecutado en el navegador cliente, para claves no es bueno porque el código podes verlo.
En html no se como se hace pero en cada pagina deberias verificar si se logueo sino redirigirlo al login. y desde el arduino verificar si alguien intento entrar muchas veces bloquear la entrada salvo que sea desde una ip conocida para desbloquear (pienso en voz alta).
Tengo un colega que es de la nueva era web y le puedo consultar si te interesa.