меня как раз таки интересует
Первым делом сервер считывает запрос, обязательно его фильтрует, чтобы не вшили инъекцию (это хороший тон даже несмотря на PDO)
Затем ищет в бд этот идентификатор, если не находит или он истек то ошибка, иначе возвращает что все ок, инфу об аккаунте, возможно ресурсы (чтобы больше привязать к серверу).
Это в самом простом случае, но такое не особо отличается взломоустойчивостью, все зависит от того как изъебнуться.