Да, необходимо , если у вас есть конфиденциальные данные пользователя, которые не могут быть доступны другим, недостаточно только включить CORS .
Существуют инструментычто позволит вам отредактировать ваш запрос и подделать происхождение.Таким образом, если у вас нет метода аутентификации в вызове API, внешние пользователи могут получить доступ к вашему API без входа в систему путем фальсификации источника.Подробнее об этом в этом посте: https://medium.com/netscape/hacking-it-out-when-cors-wont-let-you-be-great-35f6206cc646
Ссылаясь на другой пост здесь :
Помните: CORS не является безопасностью.Не надейтесь на CORS для защиты вашего сайта.Если вы предоставляете защищенные данные, используйте cookie-файлы или токены OAuth или что-то иное, чем заголовок Origin, для защиты этих данных.Заголовок Access-Control-Allow-Origin в CORS только указывает, каким источникам следует разрешать делать запросы между источниками.Не надейтесь на это больше.
При этом, если вам приходится обмениваться данными между приложением и сервером, вы должны аутентифицировать своего пользователя безопасным способом каждый раз, когда это происходит, после того, каквойти без сохранения пароля.Для этого вы можете использовать сеансы или JWT (Хорошее руководство по JWT следующее: http://jasonwatmore.com/post/2018/05/23/angular-6-jwt-authentication-example-tutorial)