Наличие идентификатора сессии может обойти логин. HTTP является протоколом без сохранения состояния, и сервер использует идентификатор сеанса для проверки подлинности отслеживания устройства пользователя, когда они уже вошли в систему. Поэтому, украдя идентификатор сеанса другого пользователя, вы можете заставить сервер думать, что вы являетесь тем пользователем отправка идентификатора сеанса этого пользователя на сервер.
Полная запись о захвате сеанса и всех атаках захвата сеанса может быть найдена Здесь .