На логине проверяем совпадение хэши пароля + соли + хэш имени пользователя + что-то еще. Если все валидно, создаем временный идентификатор, token, с небольшим временем жизни, по мере обращения проверяем его, инкрементим время жизни. Устаревшие идентификаторы удаляем. Используем защищенные соединения для организации обмена данными между клиентом и сервером.
В вашем случае если проверять при каждой операции хэш хоть от всего пароля, хоть от 70%, клиентская сторона постоянно этот пароль передает на сервер для сравнения, что небезопасно.
