На самом деле мне тоже это не нравится. Этот вопрос я решил довольно просто. Отдельная страница авторизации, и уже ПОСЛЕ успешной авторизации загрузка SPA. Тут пишут типа в чём проблема? Ну так-то DDOS никто не отменял. Авторизация может проходить через один сервер, а работа с АПИ через другой. Дабы закрыть апи от внешнего мира.
