как передавать id, чтобы изменить его было нельзя?
Чтобы id изменить было нельзя, его лучше никак не передавать.
Если пользователь может удалить любой коммент по id, то и разрешайте ему это делать, это его выбор. Даже если он вообще не будет пользоваться браузером, а будет генерить запросы из скрипта.
Если можно удалять только последний/первый/какой-то там комментарий, то и реализуйте в API это специфическое действие - удалить последний комментарий. Тогда для удаления других комментариев у юзера просто не будет рычагов в вашем API.
Вы предпринимаете какую-то странную попытку защитить юзера от самого себя. Не понимаю, почему это вообще может вас волновать, если это не угрожает данным других пользователей (т.е. авторизация всех запросов выполняется правильно).