Для большинства приложений достаточно получить токен сеанса, дальнейшие проверки обычно не выполняются. Единственное, что может иметь очень существенное значение, - это проверка IP-адреса источника запроса с токеном сеанса, что на самом деле повысит безопасность, но с точки зрения удобства использования это катастрофа - иногда меняются IP-адреса для типичных пользователей, также может быть много пользователей иметь одинаковый внешний IP-адрес (как в некоторых интернет-провайдерах или корпоративных сетях).
Так что да, получение токена сеанса позволяет злоумышленнику выдавать себя за пользователя.
Чтобы предотвратить такие атаки, идентификаторы сеанса необходимо генерировать с помощью безопасных генераторов случайных чисел (или, что еще лучше, из реальных случайных источников, но это становится проблематичным c в масштабе), и их необходимо защищать при передаче (https), а также при хранении (файлы cookie httpOnly). Конечно, иногда другие аспекты одинаково важны, поэтому могут быть достигнуты различные компромиссы (например, сохранение токена в скажем localStorage, но только недолговечного, и сохранение токена refre sh в httpOnly cook ie для идентификации провайдер).
Самое главное, вы почти никогда не должны реализовывать это самостоятельно, если у вас нет действительно особых требований (вещей, которые, вероятно, близки к тому, чего раньше никто не хотел). Во всех остальных случаях вы найдете его уже реализованным в вашем технологическом стеке в известных библиотеках или инфраструктурах, которые тестировали многие люди - вы должны использовать их.