Я видел людей, использующих UUID для генерации токена аутентификации. Однако в RFC 4122 указано, что
Не предполагайте, что UUID трудно угадать; они не должны использоваться как средства обеспечения безопасности (идентификаторы, чьи простые владения предоставляются доступ), например.
Мне было интересно, какие алгоритмы используются, например, в Java и .NET для генерации SessionId/AuthenticationToken. Является ли UUID действительно непригодным для этих целей в приложении, которое имеет более чем средние потребности в безопасности?