Actualmente estoy creando una aplicación móvil que está hablando con una API de back-end. Además, tengo una aplicación web con un servidor independiente que también accede a la API de back-end. La autorización se realiza a través de un token JWT pasado en los encabezados. Con esto obviamente me estoy topando con problemas de CORS.
He estado leyendo mucho que no se recomienda Access-Control-Allow-Origin: * porque el servidor permite solicitudes de todos los orígenes. Pero me parece que es la única forma si quiero que la aplicación móvil se comunique con el backend con un JWT.
¿Qué riesgos de seguridad existen al permitir todos los orígenes y existe una forma más segura de configurarlo?