Ich wuerde dem Benutzer nicht weit genug trauen. Da du die SessionID (die steht bei dir in der DB?) sowieso bei jedem Aufruf ueberpruefen solltest, kannst du ja vielleicht gleich bei der Abfrage nach der Session ID auch noch die Rechte/Rollen auslesen, dann kostet es kaum was.