Session management — управление состоянием пользователя между HTTP-запросами. HTTP stateless, поэтому нужен механизм: обычно это session ID в cookie, который маппится на данные сессии на сервере. В Go нет встроенного решения, используют gorilla/sessions или свою реализацию. Сессии хранят в Redis, PostgreSQL или в памяти. Важно: session ID должен быть криптографически случайным (crypto/rand), куки — HttpOnly + Secure, сессии нужно инвалидировать при логауте. Альтернатива — stateless JWT токены, но у них свои проблемы с отзывом.