flask loginのsession管理について

Flask 標準のセッション管理

1. 全てのセッション変数は(ユーザーの)ブラウザのCookieに保存されています。
   サーバ側ではセッション情報を保持していません。
2. 複数のサーバーが同じ SECRET_KEY を利用していればセッションを共有可能です。
3. 可能です。セッション変数は Base64 エンコードされた JSON オブジェクトとして Cookie に含まれます。
   (データが大きい場合は JSON → zlib 圧縮→ Base64 エンコードされています。)

Flask-Session の利用

上記の通り、Flask 標準のセッション管理は手軽ですがセキュアとは言えません。
Flask-Session を利用するとセッション変数をサーバ側で管理できます。
(2017年から更新が停滞していましたが、2020年現在ではまだお勧めできると思います。)

1. 設定によりファイルや DB などにセッション変数を保存することができます。
2. それぞれのサーバーが(1)で保存したセッション情報にアクセスできれば共有可能です。
3. ブラウザの Cookie にはセッション変数(中身)は含まれません。

セッション情報を自分で管理する

上記 Flask-Session を使わずにセキュリティを高める方法です。

• セッション変数に重要情報は格納しない。
• セッションで保存したい情報は session に格納せず自分で管理する。(DB に保存する等)

また、セッション Cookie の扱いをセキュアに設定します。

• SESSION_COOKIE_HTTPONLY を True に設定する。(デフォルトで True)
  Javascript からの読み取りを不許可にできます。
• SESSION_COOKIE_SECURE を True に設定する。(デフォルトは False)
  Cookie の送信を HTTPS に限定します。HTTPS サイトである必要があります。
• SESSION_COOKIE_SAMESITE を 'Lax' に設定する。(デフォルトは None)
  クロスオリジンでの Cookie 送信を不許可にできます。