Авторизованный юзер - это кука у юзера на клиенте и сессия на сервере у вас. При всех запросах браузер автоматически передает куку на сервер, по ней идентифицируется сессия пользователя. Если сессия есть и она валидная, юзер считается авторизованным. Ну и все его данные доступны - ID, роль, permissions и тд. Поскольку при аякс-запросе выполняется не только 1 эта функция-коллбек, а сначала загружается и выполняется ядро WordPress, то функция is_user_logged_in() на момент ее вызова в коллбеке уже работает в нормальном окружении WP, имеет доступ к сессии, данным юзера и тд. Вот и вся магия.
