Аутентикация/Авторизация для сайта/сервиса

Хорошая идея, спасибо. 

Это само собой, даже меньше у меня будет. Активная сессия - не более получаса. Посмотрим

так а денег то сколько дашь? уважающие себя хакеры бесплатно не работают.

Если сайт под РФ, "взломает" его закон, что авторизоваться и регистрироваться можно только через российские сервисы (я.почта, госуслуги).

В 2024-м создавать сайты с регистрацией - так себе идея.

Плохая идея, так делают только начинающие, которые потом сталкиваются с ограничением доступа к сайту с разных устройств..

Это тоже плохо, вы заставляете пользователя постоянно авторизоваться..

На уязвимости легко и самому проверить, есть несколько лазеек через которые хакеры получают доступ(XSS уязвимость, SQL-injection, CSRF, Code Injection), но они должны быть учтены на стадии разработки.

Не надёжно, есть способы получить куки. Всю информацию лучше хранить в сессии на сервере, а в куках только хэш токена для создания новой сессии, чтобы при новом заходе человек постоянно не авторизовался.

Даже при использовании JWT обычно нет необходимости хранить данные прямо в токене. Достаточно идентификатора пользователя. Если не хотите его "опубличивать" (здесь речь уже не про JWT), можете "солить" в индивидуальном порядке и динамически менять соль между сеансами.

С IP могут быть определенные проблемы. Иногда встречаются провайдеры, которые могут менять IP в течение одного (по крайней мере с точки зрения пользователя) Интернет-сеанса. Не знаю, с чем это связано. Плохая связь или что-то другое.

Вот это хорошо. В основном так и защищаются. Конечно, токен должен быть достаточно длинным.

Проблема может быть даже при доступе с одного устройства. Если бы все было так просто, можно было хранить различающиеся IP для каждого устройства пользователя, с которого он входил.

Время сеанса автоматически продлевается при каждом запросе или при приближении к expired. Если пользователь отошел попить чайку, это его проблемы. Все делается для безопасности его данных, финансовых средств и т.п.

Можно использовать код "возобновления сеанса". Как с недавних пор делает Сбербанк.

Перечитай внимательно. IP проверяется во время создания токена и живет ровно столько же сколько и сессия. Даже получив токен, ты не пройдешь верификацию с другого устройства. А зарегистрированный пользователь может войти откуда угодно. Если ты дома войдешь через домашний инет - окей, если тут же захочешь войти с мобилки - для тебя на устройстве создастся новый токен. Подумаю кстати о хранении сессий, чтобы пользователь мог контролировать входы в свой акк.

Это основы безопасности. Даже для минимума сенситив информации, которая может храниться. Например переписка. Человек отошел от компа, забыв вылогиниться, кто-то пришел, и увидел открытый аккаунт. На одном из проектов у нас было служебное требование - токен живет не более 15 минут. Тут приходится лавировать - удобство или безопасность.

Я немного не про это. Естественно будет и CORS и CSRF токен на фронте. Понятно, что иньекцию в базу сделать невозможно изначально - первое что проверялось. Никакой SQL/js скрипт не выполнится, если попытаться закинуть его в форму. JS обфусцируется. База - за 7 замками. К ней в принципе не будет доступа извне, сейчас, конечно открыта  для девелопинга, но даже сейчас ты в жизни в нее не войдешь - доступ через PEM-сертификат.

Вот об этом можем поподробнее поговорить. Как я уже говорил - в этом я не силен. Да, токен лежит в куках, его можно увидеть. И что это даст? как ты этим можешь воспользоваться? Там есть только userID/username и права юзера. Что это тебе даст?
Про хеш, извини не понял, можешь обьяснить?

А сколько хочешь? Можем договориться, если ты такой меркантильный))) Находишь дыру - плачу) Причем чем быстрее - тем больше)

Не планируется под РФ вообще. Под русскоязычную аудиторию - да, в том числе.

В очередной раз - я не занимаюсь сайтами. Это сервис по поиску клиентов. Веб-сервис, андроид и айфон приложения. Поэтому сразу и пишется через АПИ, на Пайтон и Java