Да, если вы копируете все файлы cookie, полученные с помощью обычного входа в браузер, в Postman - серверная часть будет проверять этот же повар ie (до тех пор, пока почтальон или пользователь не выйдет из системы и не сделает этот идентификатор сессии недействительным) и установит пользователя в соответствии с ним.
Однако, как вы сказали, you are not using any secure connection. Это действительно плохая практика. В настоящее время https является практически стандартным для любых способов связи, не говоря уже о наличии какой-либо информации для аутентификации. Так что вы обязательно должны проверить, используя https для django сайта. Если вы создаете API для приложения django - установите флажок Django Rest Framework .
Кроме того, API могут работать с некоторой аутентификацией по паролю / токену. Только браузер js -код (ajax, et c) может использовать аутентификацию сеанса, вызовы API из мобильных приложений / терминала не должны.