Вопрос какой-то странный.
Идентификатор сессии не нужно хранить. Единственная его функция - это предаваться на сервер с каждым запросом.
Содержимое localStorage само по себе на сервер не передаётся. То есть смысла класть туда ид сессии я не вижу.
Кроме кук нормальных вариантов все равно нету.
Если пользователь хочет отключить куки - это значит что он хочет отключить и сессии.
Имеет полное право.
Пользователь может не только куки, но и localStorage отключить.
Самый распространенный способ - куки. На втором месте JWT. Если и то и другое отключено, можно передавать идентификатор даже как GET-параметр, например (и это уже небезопасно, особенно если соединение не зашифровано).
