SQLAlchemy er en ORM, den gjør det enklere å aksessere dataene lagret i en database, men er ikke i seg selv en database. Om du bruker SQL direkte eller SQLAlchemy til å lagre/hente informasjon om brukere har lite å si her.

Når det kommer til brukere så må du passe på at passord lagres forsvarlig, det vil si hashet og saltet med en treg hashfunksjon. Se for eksempel https://exploreflask.com/en/latest/u...ring-passwords for et fint eksempel med bcrypt. Der finner du forøvrig også et eksempel på hvordan du kan bruke SQLAlchemy til å lettere aksessere dataene i databasen.

Om du ikke har behov for en JWT vil vanlig sesjonshåndtering være mer enn godt nok. Antagelig er enkleste, og tryggeste, veien til mål å bruke et bibliotek der dette allerede er trygt håndtert for deg. Med lett googling fant jeg flask-login: https://flask-login.readthedocs.io/en/latest/