@top

> А ставить ли хедер access-control-origin зависит от того, хочет ли админ сервера чтобы запросы могли слать посторонние.

Запросы _уже шлют_ посторонние, просто это не браузеры, а другие серверы. К примеру, перкзапросить activity по ее id по HTTPS - один из стандартных способов подтвердить ее достоверность, если она не была подписана. А если была - то запросить профиль ее автора, чтобы получить его публичный ключ и валидировать эту подпись.

А говорить "это API публично, но только если ты шлёшь запросы не из браузера" очень нелогично и непоследовательно, как по мне.