@Herb: ich habe das Gefühl, Du bringst ein paar Dinge durcheinander. Solange der geheime Schlüssel geheim ist, spricht nichts gegen signed cookies. Das signieren verhindert, dass der Client die Daten verändern kann, dass der Server also sicher sein kann, wenn da ein User-Name im Cookie steht, der User sich auch einmal mit Passwort angemeldet hat. Dass der Benutzer seinen Usernamen im Cookie lesen kann, ist ja nicht schlimm. Von daher wird kaum etwas in einem Session-Cookie gespeichert werden, was der Benutzer nicht auch so erfahren könnte.
Es ist eher die Frage, wie viel Information Du pro Session speichern willst. Cookies haben nur eine begrenzte Länge und die Daten müssen ja auch bei jedem Request hin und her übertragen werden.
Bei Server-side Sessions dagegen mußt Du genauso darauf achten, dass nicht irgendwer den Session-Key modifiziert und so Zugriff auf fremde Daten erhält. Das Snippet
hier prüft nicht einmal die IP-Addresse und erlaubt zudem noch den Zugriff auf beliebige Dateien im System. Zudem scheint der Mangel an Server-Side-Session-Lösungen für Flask zu zeigen, dass sie nicht wirklich gebraucht werden.
