пытач_ок

обычно при авторизации пользователю вешают куку (например ид) и пишут в сессию (например же ид)
и при работе с админкои сверяют сессию с кукои - если сошлось то все ок если нет, то это злобыи хакер вася из 8г и пошолоннах

зы: тупо ид в куку писать не стоит, это так для примера,
и когда куку вешаешь ставишь параметр отдавать только по хттп запросу (7 парамет если память не ….) у сессии тож такои параметр есть- стоит поставить (а то некоторые любят себе яндекс бары ставить а потом сессии в топе яднекса висят)))

а вообще если безопасность нужна , то - https/ssl только для него нужен отдельныи ип