Общие рекомендации для авторизации

• Сессии должны инвалидироваться как только в них отпадает необходимость (например, если токен стороннего сервиса используется только для получения информации о профиле, то нет необходимости его хранить)

• У сессии должно быть выставлено (и проверяться) время жизни

• Капча тесты

• Для важных финансовых операций рекомендуется использовать 2-й фактор (не всегда применимо)

• Рассмотреть вариант инвалидации сессии при обнаружении аномалий (но может возникнуть вероятность инвалидации сессии при CSRF атаке)