Пользователь заходит на index.php?action=login.
На этой странице есть sessionid, который генерируется на стороне сервера при передаче страницы пользователю.
Пользователь вводит имя и пароль, жмёт кнопку вход.
Жабоскриптом на стороне пользователся генерируется хэш из имени, пароля и id сесии - sha1(sha1(username + password) + sessionid).
И дальше на страницу index.php?action=login2 POST`ом передаётся имя пользователя и хэш.
Обычное ассиметричное шифрование.