Множество способов обойти это.
1-й. Если вы не хотите, чтобы служба отвечала токеном на лету, то вы можете использовать какую-то серверную технологию push (SignalR - это .Netрешение, я уверен, что есть эквивалент в узле js).
2nd Почему вы не отправляете токен в ответ, когда клиент отправляет идентификатор? Когда вы его получите, храните его в службе и локально кешируйте. Затем, когда охрана будет выполнена, получите последнее значение от службы и выполните проверку.
Пожалуйста, предоставьте больше информации об этом.
Моя рекомендация будет состоять в использовании некоторых известных и проверенныхметод аутентификации, такой как oauth 2 или openid connect, чтобы получить токен от вашего провайдера идентификации.
Прежде чем делать что-либо еще, я бы посоветовал вам проверить неявный большой метод для oauth2 , который рекомендуетсяспособ аутентификации одностраничного приложения.
Другие проблемы безопасности
- Остерегайтесь того, что если идентификатор клиента является предположительным, то люди могут выдавать себя за других, тем самым делая ваш спа-центр небезопасным.
- Проверьте это angular с аутентификацией ldap . Активный каталог обычно является лучшим способом аутентификации корпоративных пользователей, поскольку он не основан на коде на стороне клиента, который легко обойти.