你怕伪造可以使用加密算法对这个id进行加密。

又或者直接放弃session，把session中的信息加密后存在cookie里，把cookie埋在根域名下做跨域处理实现多服务器访问，当然这种方法要求用户必须提供Cookie支持。