Session Tokenもだいたい同じ意味

Session管理時にclientを一意に識別するためのid

第3者にSession IDを推測されないように生成しないといけない

連番などはもってのほか

自作するのではなく、ライブラリなどから提供されうものを利用する

例えばcookieで管理している場合、devtoolsで見ると

(Name, Value)の組が見れるが、このValueの方がSesion ID

Nameの方はCookieの名前ではあってSessionとは直接的には関係ない

Session Dataはclientは知らないので見れない

なりすまし

ログイン状態のセッションのSession IDを手に入れられれば、別ブラウザでもログイン状態になれる