Si dices que estás usando sesiones, entonces, esto no debería de ser una preocupación. Simplemente añade los permisos en la sesión y problema resuelto. Podrías guardar un array en la sesión con el código identificador del usuario y los niveles de acceso. Al estar esto en el lado del servidor, lo que el usuario haga en el lado del cliente, no deberá de representar una preocupación para ti.

Saludos