En resumidas cuentas y respondiendo a tu pregunta:
¿Cómo agrego el Authorization evitando el preflight?
Como lo tienes está bien, lo que pasa es que como comenta @devconcept los navegadores hacen algo que se llama el preflights antes de la petición real. Debes dejarlo como está y manejar del lado del backend las peticiones OPTIONS para dejarlas pasar en caso de que tengas un filtro u otro obstáculo que impida el paso de este tipo de peticiones. Tambien ten en cuenta el tema de CORS que no es mas que la seguridad que se implementa para solicitudes AJAX de recursos cruzado o fuera del alcance del proyecto actual, es decir fuera de los limites del proyecto.
Por otro lado te recomiendo usar $resource en lugar de $http. En esta página puedes encontrar información que compara estos objetos.