Adamos

Прочитал описание.
А если другой пользователь скажет в качестве ключа ту же самую фразу "ВАВВРАПРАПТАПТ" - вы ему что ответите?
Тут такая уже есть, можешь входить в чужой кошелек?

Раздел, про который все знают, но доступ только у пользователя с админскими правами.
И дополнительные кнопочки на страницах для пользователей с правами редактирования (админ, модератор, автор материала).

Не нужно использовать весь функционал, даже наоборот добавить тот, который нужен под данный тип деятельности!

Попробую угадать: у вас возникло желание внедрить небольшую самописную ERP/CRM/(другие модные аббревиатуры), и вы почему-то решили начать этот процесс с выкидывания 1С и написания велосипедов.
Хотя логичнее писать и внедрять новую систему, пополняя ее данные выгрузками из 1С, и отказываться от последней только тогда, когда (и если) ее ненужность действительно станет очевидной. Скорее всего - никогда...

Нужно реализовать много всяких вещей, таких как: регистрация и права доступа к страницам в зависимости от группы пользователя

Штатная функциональность любой CMS или популярного РНР-фреймворка

подготовка документов к печати (например, коммерческое предложение, тз и так далее)

Достаточно просто пишется с использованием mPDF

но, самое важное это "предварительный расчёт"

А вот это задача, перпендикулярная всему прочему сайту. Потому что всему этому расчету желательно быть на одной странице, и от прочего сайта эта страница зависит минимально. Как и он от нее. Javascript сейчас позволяет делать на странице все, что угодно - просто нужно это уметь.

не знаем как поступить: есть МНОГО параметров, и нужно сделать так, чтобы при выборе одного, в зависимости от условий, менялись СРАЗУ ЖЕ другие

Например, сделать расчет в виде wizard - окошек, в которых можно сделать выбор, от которого зависит, какое окошко откроется следующим (и можно вернуться, если передумал). Окошки все на одной странице (в каждый конкретный момент видно только текущее), управляются javascript-ом.

Публичная оферта - это немного другое. Вы имеете в виду политику конфиденциальности.
На сайте ее желательно иметь, особенно если в ней честно написано, что вы используете данные только для функционирования открыто заявленных пользователям служб самого сайта и не передаете их третьим лицам.
В этом же случае, подозреваю, любой грамотный юрист докажет, что заполнение пользователем полей со своими ПД в форме на сайте не может означать ничего иного, кроме согласия пользователя на обработку этим сайтом этих данных. Но можно и явно подписать это под формой (со ссылкой на ПК) или даже сделать чекбоксом, если вам так пригорает и вы реально верите, что кто-то вдруг будет иметь именно к вам, а не ко всему остальному интернету, претензии именно по этим статьям.

А вот если вы все-таки сливаете данные пользователей спамерам или прочей сволочи - то горите в аду, кто ж вам помогать-то будет?!! ;)

Javascript и сам умеет отправлять пользователя на другую страницу.
Например, не обнаружив куки сессии.

Требуются специалисты с опытом чтения мыслей... В чем вопрос-то?
Стоит ли осваивать чистый РНР? Безусловно, чтобы знать, "что под капотом".
Стоит ли прокачивать использование фреймворков? Разумеется, они часто полезны, а в крупном проекте - практически обязательны.
Стоит ли рассусоливать такие вопросы по форумам? Имхо, это просто разновидность прокрастинации.

Чему нас учит семья и школа?
Что жизнь сама таких накажет строго.

Не умея правильно выстроить архитектуру и работу, вы, конечно, неизбежно занимаетесь манки-кодингом. Это нормально.
Но вы в кратчайшие сроки наберете столько технического долга, что разруливать его, не думая, просто не получится. Поневоле узрите свои ошибки и основания к тому, чтобы делать более мудрено то, что казалось логичным сделать по-быстрому.
Это, конечно, оптимистичный сценарий, но лучше готовиться к нему, чем высасывать что-то из пальца и думать, "как правильно программировать", а не "как же теперь отрефакторить эту конкретную клоаку и никогда больше так не делать".

Для начала имеет смысл выключить блокировщик рекламы в браузере.
Некоторые счетчики и пузомерки, будучи обрезанными, дают именно такой эффект.

Вижу два положительных момента:
1. Верстка все-таки сделана, а это порядка 30% работы над сайтом.
2. Судя по всему, руководство настолько в теме, что тот пароль ему все равно не понадобится.

Холиварная постановка вопроса. Вам-то зачем такой абстрактный ответ?
Если вы лично не знаете ни того, ни другого, то для вас лучше Го - и заработает раньше, и наговнокодить на нем сложнее.

А при чем тут рендеринг шрифта? Вы либо просматриваете чем-то неудачным (тогда и править нечего), либо шрифт включен неверно, либо кириллический текст при формировании pdf неверно обрабатывается и в него лезут пустые символы.
Для начала попробуйте другой ридер, если в нем так же - стоит перегнать PDF в PS и посмотреть, что в нем, собственно, происходит.

Как я начал делать, при авторизации с приложения делаю запрос к API такого плана:
/api/?user.checkAuth={"login":"admin", "pass":"md5('.....)"} проверяю правильный ли хеш,

А дальше генерирую случайную строку и сохраняю ее на сервере в паре СТРОКА - ПОЛЬЗОВАТЕЛЬ, так же отсылаю ее в ответ приложению, те эдакий сессионный токен, который знаю я, и знает приложение.

Наоборот.
Приложение стукнулось на сайт - пока без авторизации.
Сайт создает запись о новом посетителе и присваивает ему токен. Возвращает id посетителя и токен.
Приложение возвращает этот id, логин и хэш от (хэш пароля + токен) - сайт сможет повторить это хэширование, а хэш пароля (по которому у вас, получается, можно авторизоваться, даже не зная пароля) в передаче не светится вовсе.
Заодно логика посетителя позволяет одному и тому же клиенту одновременно авторизоваться с нескольких устройств, не сбрасывая сессию.

Чем-то грозит реализация, такая, что один user_id может иметь несколько токенов?

Стандартной ошибкой - если вы будете в чем-то полагаться на ту информацию, которую хранит приложение, а не сайт.
Например, если приложение при запуске загружает остаток средств на счете и потом оперирует этой цифрой, не проверяя, не был ли он за это время уже изменен на сайте.

Зачем вообще делать редирект сервером и выводить чужие ссылки в страницах своего форума?

<a href="#" onclick="redirectUrl('http://outsite.com'); return false">Внешняя ссылка</a>

А какие есть объективные причины для работы на Windows вебразработчику?