Depois de duas horas tentando fazer o nginx servir um CORS para um código de status 401, encontrei a solução e queria compartilhá-la aqui.
Este documento:
http://nginx.org/en/docs/http/ngx_http_headers_module.html#add_header
Diz que a opção “add_header” só funciona para o status:
200, 201, 204, 206, 301, 302, 303, 304 ou 307
Mas você pode ignorar todas as restrições de status de http passando um terceiro parâmetro para add_header com a constante “always”. Dessa forma, ele adicionará o cabeçalho, o tempo todo, com qualquer estado.
Então, no meu caso, meu cabeçalho termina assim:
add_header 'Access-Control-Allow-Origin' * always;
Observe o sempre no final do valor? Isso funcionou para mim e só queria compartilhar.