Установила для сессий єтот пакет.
Когда я логинюсь, у меня в куках появляется только auth_tkt. При вызове определенной вьюхи появлеется кука с ключом, который указан в конфиках для сессий (session.key).
Не могу понять что не так?

ключ session.key появляется при
request.session.new_csrf_token()…

При логине я делаю:
headers = remember(self.request, user.login)
response = HTTPFound(location=self.request.resource_url(…), headers=headers)
Нужно еще вызвать метод new_csrf_token? в доках этого нету

Нет, вызывать new_csrf_token при логине не надо.

В пирамиде (как и в pylons) разделено хранение userid (идентификатор пользователя - он как раз храниться в auth_tkt в зашифрованном виде) и данных сессии (вот для них как раз используется session.key из настроек).

Сделано это из тех соображений, что для большого количества веб-приложений одного userid достаточно (без сессий), плюс такой подход позволяет через auth_tkt использовать сквозную авторизацию в композитных приложениях (то есть приложениях, составленных из других wsgi-приложений, написанных на разных фреймворках - pyramid, pylons etc).

тоесть насколько я понимаю auth_tkt это юзер айди, которое устанавливает сама пирамида, session.key - это айди сессии. auth_tkt хранится в зашифрованному виде? он для одного и того же юзера каждый раз генерится разный… а как разшифровать auth_tkt?
Можна ли узнать по сессии юзейайди и определить две сессии принадлежат одному и тому же юзерайди?