Может быть мое сообщение покажется бредом, но хотел бы предложить включить HttpOnly куки в Django, так как без этого можно перехватить и использовать чужую сессию, если по пути пакетов встанет сниффер, на пример Wireshark.
Ну и заодно авторизацию через SSL сделать, тогда же можно будет отдавать куки только по SSL.

Кому нужны наши сессии?
Нет, правда. О "Сказке" знает не так уж много народу, те кто знает, понимают, что долгожительство особых плюшек не приносит, а подписчики... Я бы не стал так заморачиваться ради стольника, еще даже не учитывая стоимость эл-ва и инета

HttpOnly куки не помогут от снифера. Это защитит только увод кук через xss.