Cookieに保存されるセッションIDとCSRFトークンは、ブラウザ側に保存されます。
Flaskはシークレットキーを使用してセッションIDを生成し、CSRFトークンはFlask-Formが自動的にCSRFトークンを生成してくれます。
それらをユーザーのブラウザにCookieとして保存します、この情報をセッションオブジェクトと言います。
ブラウザがサーバーにリクエストを送信する際には、自動的にCookieが含まれます。具体的には、以下のような形式になります。
セッションID=abcdefg; CSRFトークン=hijklmn
ブラウザは、同じドメイン名やサブドメイン名のサイトにアクセスする際にもCookieを送信するため、この方法でセッションIDやCSRFトークンが共有されます。サーバー側ではユーザーのセッション情報は一時的にサーバーのメモリ上に保存されます。
サーバー側では、これらの値を取得し、認証やセッション管理などの用途に使用します。
また、ブラウザが閉じられた場合、そのセッション情報はサーバー上から削除されます。したがって、ブラウザが閉じられるまでの間、サーバーのメモリにセッション情報が保持されます。ただし、サーバーが再起動された場合や、サーバーのメモリが不足した場合には、セッション情報は消失する可能性があります。