Sly32

По факту мне достаточно CORS что бы апишку не могли тащить сторонние ресурсы. Но так как планируется еще мобильные аппликухи - скорее всего будет JWT-token для проверки валидности. Но это все вне рамках моего вопроса. Меня интересует работа с фронтом для залогиненого пользователя и безопасность использование токена

У нас примерно также или немного дороже, по акции если - ниже 9 евро за кг

А зачем ее сравнивать с борщом? Когда-то хочется борща, когда-то пицца, общее у них только то что оба блюда не особо полезны. Правда пицца по итальянскому рецепту не такая калорийная как Пицца Хат) Кстати поляки под борщом подразумевают свекольную воду с пельменями))) Даже пробовать неохота. Благо что в городе масса заведений, где подают настоящий украинский борщ с пампушками - пальчики оближешь. Да и жена отлично его готовит.

За кг? Ну может я что-то и путаю, сегодня спецом посмотрю. Но понятно что доставка в Тай будет стоить денег

Зачем.

Есть. 

да, про это говорили, мне кажется что это уже будет защитой от подмены токена в случае разных Айпи

А если не подделывать? Ну вот я увидел что у пользователя открыта страничка, зашел  и скопировал токен в браузере, потом на своем компе вошел на страничку пофиля и подменил в браузере в куках токен? Я получу доступ к чужой странице?

Да, о таком я и говорил, вопрос в необходимости. Это не банковское приложение)

Ну скажем так - это было в порядке диалога. По факту при работе с токенизаций получить чужие данные крайне сложно. Да и алгоритм шифрования я использую RSA256 -  c приватным ключом/сертификатом

Все верно, так и работает. Expired  продлевается автоматически, если юзер активен.  Про Айпи я уже ответил - это другой механизм чем описал Арбнет. 

Перечитай внимательно. IP проверяется во время создания токена и живет ровно столько же сколько и сессия. Даже получив токен, ты не пройдешь верификацию с другого устройства. А зарегистрированный пользователь может войти откуда угодно. Если ты дома войдешь через домашний инет - окей, если тут же захочешь войти с мобилки - для тебя на устройстве создастся новый токен. Подумаю кстати о хранении сессий, чтобы пользователь мог контролировать входы в свой акк.

Это основы безопасности. Даже для минимума сенситив информации, которая может храниться. Например переписка. Человек отошел от компа, забыв вылогиниться, кто-то пришел, и увидел открытый аккаунт. На одном из проектов у нас было служебное требование - токен живет не более 15 минут. Тут приходится лавировать - удобство или безопасность.

Я немного не про это. Естественно будет и CORS и CSRF токен на фронте. Понятно, что иньекцию в базу сделать невозможно изначально - первое что проверялось. Никакой SQL/js скрипт не выполнится, если попытаться закинуть его в форму. JS обфусцируется. База - за 7 замками. К ней в принципе не будет доступа извне, сейчас, конечно открыта  для девелопинга, но даже сейчас ты в жизни в нее не войдешь - доступ через PEM-сертификат.

Вот об этом можем поподробнее поговорить. Как я уже говорил - в этом я не силен. Да, токен лежит в куках, его можно увидеть. И что это даст? как ты этим можешь воспользоваться? Там есть только userID/username и права юзера. Что это тебе даст?
Про хеш, извини не понял, можешь обьяснить?

А сколько хочешь? Можем договориться, если ты такой меркантильный))) Находишь дыру - плачу) Причем чем быстрее - тем больше)

Не планируется под РФ вообще. Под русскоязычную аудиторию - да, в том числе.

В очередной раз - я не занимаюсь сайтами. Это сервис по поиску клиентов. Веб-сервис, андроид и айфон приложения. Поэтому сразу и пишется через АПИ, на Пайтон и Java

Бутстраповский слайдер подключается в 2 клика и настраивается как угодно, включая бесконечную прокрутку. Если ты не в состоянии прочитать элементарный код  - стоит ли его использовать? Вдруг там зашито невесть что? Возьми нормальное, проверенное решение.

https://getbootstrap.com/docs/5.3/components/carousel/