Ich versteh das Prinzip nicht ganz.
Der User meldet sich an und wird beim Server als angemeldet geführt? Sessions zum Beispiel?

Der User hat ein Lesezugriff auf das Formular.

Dann würd ich dem Admin ein Formular geben und dem nicht-Admin nur eine Seite ohne Formular.

Hierzu habe ich eine passwortgeschützte Dummyseite angelegt, die beim Drücken des Submitbuttons aufgerufen wird.

Warum Dummy und nicht das was wirklich das Formular bearbeiten soll? Das fragt das Passwort ab und macht dem entsprechend das was es soll, oder halt nichts.