Normal
Und wieso muss der Token überhaupt am Client existieren? Er dient doch dazu, mit einem externen Drittsystem (z.B. Zahlungsdienstleister) zu reden. Das sollte sowieso nicht die Frontend-App machen, sondern ein Backend... und die Legitimation, dass der User das auch darf (über das Backend) wird ihm gegeben durch einen korrekten Login/Authentifizierung an dein eines Backend.API Calls zu Drittsystemen sollten überhaupt niemals direkt vom Frontend ausgehen.
Und wieso muss der Token überhaupt am Client existieren? Er dient doch dazu, mit einem externen Drittsystem (z.B. Zahlungsdienstleister) zu reden. Das sollte sowieso nicht die Frontend-App machen, sondern ein Backend... und die Legitimation, dass der User das auch darf (über das Backend) wird ihm gegeben durch einen korrekten Login/Authentifizierung an dein eines Backend.
API Calls zu Drittsystemen sollten überhaupt niemals direkt vom Frontend ausgehen.
