保护后端API的最佳方式是通过使用Angular的HttpClient模块来发送HTTP请求，并在请求中包含身份验证凭据。以下是一个示例解决方法：

1. 在Angular应用程序中安装HttpClient模块：

npm install @angular/common

2. 创建一个AuthInterceptor服务来拦截HTTP请求并添加身份验证凭据：

import { Injectable } from '@angular/core';
import { HttpInterceptor, HttpRequest, HttpHandler, HttpEvent } from '@angular/common/http';
import { Observable } from 'rxjs';

@Injectable()
export class AuthInterceptor implements HttpInterceptor {
  constructor() {}

  intercept(request: HttpRequest, next: HttpHandler): Observable> {
    // 在请求头中添加身份验证凭据
    const modifiedRequest = request.clone({
      withCredentials: true
    });

    return next.handle(modifiedRequest);
  }
}

3. 在app.module.ts中将AuthInterceptor服务添加到提供者列表中：

import { BrowserModule } from '@angular/platform-browser';
import { NgModule } from '@angular/core';
import { HttpClientModule, HTTP_INTERCEPTORS } from '@angular/common/http';

import { AppComponent } from './app.component';
import { AuthInterceptor } from './auth.interceptor';

@NgModule({
  declarations: [
    AppComponent
  ],
  imports: [
    BrowserModule,
    HttpClientModule
  ],
  providers: [
    {
      provide: HTTP_INTERCEPTORS,
      useClass: AuthInterceptor,
      multi: true
    }
  ],
  bootstrap: [AppComponent]
})
export class AppModule { }

4. 在组件中使用HttpClient模块发送请求：

import { Component } from '@angular/core';
import { HttpClient } from '@angular/common/http';

@Component({
  selector: 'app-root',
  template: `
    Get Protected Data
  `
})
export class AppComponent {
  constructor(private http: HttpClient) {}

  getProtectedData() {
    this.http.get('https://api.example.com/protected-endpoint')
      .subscribe(
        response => {
          console.log(response);
        },
        error => {
          console.error(error);
        }
      );
  }
}

通过以上步骤，你可以保护后端API并在请求中包含身份验证凭据。在AuthInterceptor服务中，我们使用withCredentials: true选项将凭据添加到请求头中。由于我们在app.module.ts中将AuthInterceptor服务添加到提供者列表中，它将自动拦截每个HTTP请求并添加凭据。在组件中，我们使用HttpClient模块来发送请求并处理响应和错误。