Attualmente sto costruendo un'app mobile che sta parlando con un'API back-end. Inoltre ho una webapp con un server separato che accede anche all'API di back-end. L'autorizzazione avviene tramite un token JWT passato nelle intestazioni. Con questo ovviamente sto correndo nei problemi CORS.
Ho letto molto che Access-Control-Allow-Origin: *
non è raccomandato perché il server consente richieste da tutte le origini. Ma mi sembra che sia l'unico modo se voglio che l'app mobile parli al back-end con un JWT.
Quali rischi per la sicurezza ci sono consentendo tutte le origini e c'è forse un modo più sicuro di configurarlo?