Чтобы не светить конкретно сами ID - можно записывать его в сессию в виде какого-либо хеша, и проверять соответствие не user_id <=> owner_id, а hash(user_id) <=> hash(owner_id)
главное не храните это в куках, а то можно вручную там прописать auth=1 и вуаля.
Можете к примеру сохранить id и хеш = пароль + соль, а дальше уже проверять, есть разные варианты.
СЕССИИ хранятся на вашей стороне, поэтому они более менее безопасны
