Хотя содержимое сеанса Flask может видеть любой, кто знает, как декодировать base64, пользователь не может просто изменить его содержимое, задав желаемые значения и поместив их обратно в кодировку base64 в сеансе из-за сигнатуры целостности, о которой вы можете услышать на https://youtu.be/mhcnBTDLxCI?t=339.
Сама подпись генерируется на основе содержимого сеанса и секрета приложения, который виден только на стороне сервера.Таким образом, пользователь не сможет успешно вмешиваться в содержимое сеанса, поскольку он не знает ключ, установленный в SECRET_KEY
в настройках приложения.
Итак, отвечая на ваш вопрос: вы можете сохранить такой флаг администратора в сеансеи это не будет угрозой безопасности, если ваш секретный ключ достаточно случайный Документ сеанса Flask и не разглашается никому.