1) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин и пароль"
2) в ВЕБ в форме авторизации можно ли ставить птичку "запомнить логин"
нет, если захочет, то хром/фокс спросят пользователя
3) нужно ли хранить ИП-адреса с которых были произведены авторизации
стоит. Если ты работаешь с деньгами - обязательно. Старайся не работать с деньгами без толкового TL, у которого можно уточнить детали
4) Нужно ли назначать expiration time для Токенов, которые выдаются для авторизации в мобильных приложениях iOS и Android?
стоит. Но бизнесс-процесс ты можешь такой безопасностью нарушить. Лучше используй доп запрос пароля - токена при отдельных операциях
5) если клиент совершает "LOGOUT" в мобильном приложении, убивать ВСЕ токены для этого клиента?
лучше спросить клиента отдельно. Установку по-умолчанию согласовать с заказчиком
6) Показывать в кабинете пользователя выданные токены, время выдачи и дату последнего использования?
стоит. Если оперируешь с деньгами - обязательно
Средний
