Hola keroseno,

Primero te recomiendo veas que son varios conceptos diferentes los que manejas, en contrato, el asunto de autentificación vs autorización.

El que uses sha1, md5, crypt, etc. es tema de autentificación y aqui no importa de donde vienen los datos ya sea de un formulario HTML normal, un request AJAX, un WebService, etc. Es el mismo proceso, validar y crear la sesión una vez que este autentificado el usuario.

La siguiente parte igual es similiar una vez que estas autentificado en la sesión entonces es donde compruebas si el usuario tiene permisos o capacidad para realizar alguna acción. Esta capacidad la tienes que gestionar en el servidor independientemente de donde venga el request. Es decir no importando si el dato viene de AJAX, o de un GET normal tienes que validar y autorizar que el usuario tenga permisos para hacerlo.

Una vez que logres entender y diferenciar podrás ver que no importa que uses AJAX para traer solamente el ID e inyectarlo donde se vaya a usar, va a ser independiente ya que el servidor tendra que validar independientemente que los datos que le estas entregando son los correctos y que el usuario activo tiene el permiso para hacer lo que requieres.

Saludos