Я тестировал всю концепцию MEAN, имеющую API REST для доступа к вашему интерфейсу и т. Д. И т. Д.Аутентификация запроса API REST
Как проверить, что запрос на мой API связан с текущим сеансом? Любой «токен», который может иметь раздел «Угловой», отправляется в каждом запросе на аутентификацию, может быть просмотрен любым человеком, достаточно любопытным, чтобы его искать.
Указанный человек может принять этот токен и выдавать «аутентифицированные» запросы API до тех пор, пока корова не вернутся домой. Как вам обойти это?
т.е. я не хотел бы кто-то с маркером использовать API, чтобы получить доступ к информации, которая может быть чувствительным к пользовательскому и т.д.
реализовать HSTS http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html – Sebas