Без более точной инфы по данным в сессии и профилю нагрузки сказать сложно.
Нужно смотреть что дороже вам выйдет:
- если серверные ресурсы дорого обходятся, то храним данные в сессии
- если большой объём данных в сессии негативно скажется на трафике пользователей, то делаем кэш.
>сессию можно своровать
Своровать саму сессию можно и кэш тут не поможет (своруют айдишних). Два соображения по этому данных:
- данные сессии в кукисах надо шифровать (посолили, поперчили, зашифровали, отдали пользователю) - так сами данные не утекут (а вот сессия может).
- чтобы своровать саму сессию было сложно, используйте https.