La solución perfecta es la que envió Cluster, es decir sólamente faltó el method =\"POST\".
Efectívamente valido desde Javascript un pass que me viene del registro del documento en la base de datos que es independiente al del usuario y sólo aplica para ese documento en particular.
Se que no es muy seguro pero no se hacerlo de otra manera y como es para una intranet de empresa espero que la inseguridad no sea lo más crítico.
Muchísimas gracias