Роман, ну так доменом будет прокси, а не оригинальный хост. Если это какой-то публично доступный файл, то без разницы конечно, а если залогиновый, то ничего не выйдет.
А какая разница SPA/не-SPA.
Токен сам по себе не интересен. Он нужен только при запросе к серверу, вот пусть сервер и проверяет время жизни и отвечает ошибкой если токен протух.
В общем случае — да.
В частных случаях, обычно это урл выглядит так «как%20приручить%20дракона-100500» и в базе мы ищем по 100500, а остальное просто шум для красоты и SEO
