Иван Шумов

Заводить отдельный микросервис где хранить шары. Пользователь обращается за своими шарами в это сервис. Все, магия закончилась

Правильно все делаешь

берем любой Identity Server (например Keycloak), или SaaS (Auth0) и переносим имеющихся пользователей системы туда. Потом настраиваем другие виды логинов и интегрируем в новую версию по OpenId + JWT, например. PROFIT

Выделяем отдельный Identity Server, который следит за пользователями. Читаем про всякие oidc, OAuth2 и тому подобное. Каждое приложение это отдельный сервис, который ничего не знает про другой. Если пользователь гость то его отправляют поговорить с IS, залогиниться и прийти обратно с токеном (все это под капотом с редиректами или через Ajax)

Прифит. База пользователей одна, приложений сколько угодно

Keycloak отдельно, django отдельно. Они реализуют свои задачи. Идея Identity Server заключается в наличии отдельного продукта, который реализует множество стандартного функционала и которому без разницы на чем вы пишете логику своего приложения. Расширять через него пользователя не надо - все допы пишите в своем приложении, а Identity Server должен в основе своей только обеспечивать логин пользователей(чаще всего с федерацией) по стандартным протоколам и иногда заниматься проверкой авторизации. Все

Если я правильно поняла, Keycloak для авторизации использует свою форму, для доступа к сайту, и вроде можно ее кастомизировать, но а можно как-то ее миновать . (пример На сайте своя форма авторизации , и авторизацией занимается kong, а основное приложение отдает остальную инфу).

я бы не сильно гнался за своей формой, если только у вас не SPA (да и там не особо-то и надо). Лучше стилизовать самостоятельно в Keycloak, благо это детская задачка и есть все гайды. Оно еще о обновляется через админку

Есть системы в которых есть GW (обычно это API GW), которые могут себе позволить проводить авторизацию токена и доводить до бэкэнда только контекст, но только в том случае если связь между GW и бэкэндом можно гарантированно защитить. Живой пример такого AWS API Gateway + Lambda.

Вообще идеальная архитектура в вакууме (на высоком уровне) это GW + Identity Server + backend. И в нормальных условиях разработчик занимается только backend. Все остальное - есть решения от разных компаний, включая opensource

Ну, если не очень много пользователей или есть деньги - Auth0 в помощь. А так - Keycloak топ

Если вы надумали писать свой Identity Server, то, может, посмотрите на готовые решения? Auth0, например, классные ребята

Нет. Есть 2 вида токенов: by Reference и by Value. by Reference это случайно сгенерированнное значение. by Value это как правило JWT и подписывают его в основном ассиметричным шифрованием ( RS256 как минимум) и вам приватный ключ никто не скажет, а вы его никогда и не подберёте