SECRET_KEYは、django内部で生成・利用される暗号鍵や署名をさらに安全にするために利用されています。

具体例として、webアプリでユーザーが登録するパスワードの暗号化や、パスワード変更用のURL生成等に使用されています。

下記スレッドに詳しいことが書かれてあります。

https://groups.google.com/g/django-ja/c/9KJ-9x9MCv0?pli=1
より引用。

SECRET_KEYは、セキュリティ系のtoken等の生成に使われています。

生成アルゴリズムはDjangoのコードを見ればわかってしまいます。
SECRET_KEY以外は、ある程度の短さや範囲内なので、SECRET_KEY
がわかってしまうと、試すべきパターンがかなり減ってしまいます。

.

パスワードをリセットするときに送信されるメールに書き込まれる URL の、

認証ビットを生成するのに使われます。 SECRET_KEY が漏れると、
ユーザのパスワードと最終ログイン時刻が既知の場合、パスワードリセット
確認メールを偽装できます。

フォームウィザード、フォームプレビューの POST 偽装対策に使われています。

SECRET_KEY が漏れると、フォームの隠しフィールドに入っているセキュリティ
ハッシュを偽造して、有効な POST を偽装できます。

コメントシステム（1.0で書き直されたバージョン）の POST 偽装対策に使わ

れています。SECRET_KEY が漏れると、コメント対象のオブジェクトのモデル
クラスのメタデータ、オブジェクトの主キーが基地の場合、有効な POST
データを偽造できます。

CsrfMiddleware が自動的に組み込む認証ビットの生成に使われています。

SECRET_KEY が漏れると、何らかの方法で入手したセッションIDを使って、
CsrfMiddleware を通過する POST データを偽造できます。