могут ли пользователи изменять переменные сеанса?

Или они управляются только сервером? Например, можем ли мы всегда предполагать, что Auth.User.Id всегда соответствует текущему пользователю?