во flask там у сессионной куки(session) зашифрованное value

если данные сессии хранятся в обоих случаях на сервере

В случае flask как раз на сервере ничего не хранится, ведь содержимое сессии зашифровано в куках. Соответственно никакой нагрузки сервера и потребления памяти нет

Сессия

А как можно зашифровать значения, которые лежать в словаре session на стороне клиента? Там же в куке лежить просто value зашифрованное, как из него потом вытащить session[‘test’] и пр.?

На сервере хранится ключ для расшифровки (app.secret_key в фласке).

Сессия

В общем алгоритм такой(поправьте):

1. На сервере создается сессия
2. Сессия передается браузеру и хранится как сессионная кука с именем session и зашифрованным значением.
3. При следующем обращении к серверу, браузер отправляет значение из куки session и flask его расшифрует с помощью secret_key. Если расшифровать значение не удалось, то в session на сервере ничего не попадает.

В целом верно.

Сессия

А как Flask определяет время жизни сессии? То, что пришло от браузера живо ли еще?

https://flask.palletsprojects.com/en/1.1.x/config/#PERMANENT_SESSION_LIFETIME

У куки помимо прочего подписана информация о времени её выдачи. Кстати очень важная деталь про которую я забыл. По умолчанию куки во фласке подписаны, но не зашифрованы, т.е. хранить в них что-то что пользователю знать не надо нельзя.

Сессия

Важное уточнение, спасибо посмотрю

Отличается тем, что в Flask, как и в любой другой системе с client-side sessions нет нормального механизма инвалидации сессий. В связи с чем нельзя, к примеру, при логине загрузить в сессию все роли пользователя, а дёргать каждый раз БД.

Не знаю, как во фласке, а джанго способ хранения сессии настраивается, в том числе есть вариант и клиентских сессий в куках. Я уверен, что в любом нормальном нелегковесном фреймворке должна быть такая возможность.

… ведь содержимое сессии зашифровано в куках.

О боже милостливый! :-O Нафиг нафиг, в этот ваш Flask не ногой!

Сессия

А если срок действия куки в браузере посетителю каким-то образом удастся изменить, то flask это поймет? Или срок действия сессии flask шифрует тоже внутри, вне зависимости какой срок отображает браузер?

Не шифрует, а подписывает, время создания является частью подписываемой информации.

Сессия

Подписывает? Не понятно, что за значение у cookie такое, какая часть шифруется?

У flask куки нешифрованные, там base64. Но есть подпись которая позволяет проверить менял ли пользователь какие-либо данные в ней.

Сессия

Куки то понятно, что не шифрованные. Когда речь идет о сессиях, разве они не сохраняются в шифрованные куки?

И еще, эта подпись где то хранится на стороне клиента?

Сессии не шифруются. Там через точки три куска в base64: данные, время, подпись.

base64

время - это время действия сессионной куки?

Эти три фрагмента кодируется все через base64? Данные можно расшифровать декодером, а почему время и подпись не получиться?

Время это время создания сессии. Время и подпись может и не в base64, не помню точно.