Su s tym spojene komplikacie ktore musite riesit vo vasej aplikacii. Obcas token pregenerovat, niekto hovori ze pri kazdom requeste ja myslim ze staci per session jeden. Ak ho generujete a osetrujete ako poslat linku kolegovi cez mail? Ako riesit <back button (stary token), ... a kopec dalsich veci a iba zopakujem, vsetko treba riesit aplikacne. CORS policy si nastavite obvykle pri deployment v servri (reverse proxy alebo aplikacny server) a aplikacia samotna nemusi vobec nic riesit.