Опять-таки, сначало появляется анонимный пользователь, а потом сессия.
После вторичной аутентификации, сессия начинает принадлежать аутентифицированом пользователю (пусть даже и косвенно, через ID).
Соглашусь с вами только в специфики реализации, что в PHP сессия создаётся (физически раньше), но с точки зрения работы — сначало аутентификация, потом сессия. Кстати, вариант который есть в PHP (если я не ошибаюсь) весьма странный, т.к. SESSION_ID ОБЩАЯ как для анонимного пользователя, так и аутентифицированого. Это может приводить к «грязным данным» оставшихся после предыдущего пользователя.
И вообще сессия — это механизм сохранения СОСТОЯНИЯ в stateless запросах (коим является HTTP Request). Но уж ни как для хранения данных об аутентификации/авторизации.
Да, 99% всех реализаций используют сессию как им нравится, но это не совсем корректно с точки зрения назначения сессии.
Но, более корректный план тестирования будет зависить от задачи.
Мне почему-то опыт подсказывает, что не всегда созданые таким образом блоки можно будет протестировать по-отдельности.
Вот мой 380 96 702-2222 упал, и я волнуюсь. :)