Роман, ну так доменом будет прокси, а не оригинальный хост. Если это какой-то публично доступный файл, то без разницы конечно, а если залогиновый, то ничего не выйдет.
А какая разница SPA/не-SPA.
Токен сам по себе не интересен. Он нужен только при запросе к серверу, вот пусть сервер и проверяет время жизни и отвечает ошибкой если токен протух.
В общем случае — да.
В частных случаях, обычно это урл выглядит так «как%20приручить%20дракона-100500» и в базе мы ищем по 100500, а остальное просто шум для красоты и SEO
> при авторизации пароль будет хешироваться
Где? Если на клиенте, то вы знать не знаете хешировал ли я настоящий пароль или украл хеш и отправил его.
Если на сервере, то значит пароль таки летит в чистом виде по сети и изначальный вопрос не имеет смысла.
git remote -v
?