cakephp2.10を使っています。
ログイン機能を実装したのですが、どんなusername,passwordでもログインができてしまいます。
違う値だとログインしないようにするにはどのように対処すればよろしいでしょうか？

php
1$data["username"] = "333333";
2$data["password"] = "333333";
3$this->request->data["User"]["username"] = $data["username"];
4$this->request->data["User"]["password"] = $data["password"];
5    if ($this->Auth->login()) {
6        $user = $this->Auth->user();
7        return json_encode(array("user_id"=>$user["id"],"email"=>$user["email"],"username"=>$user["username"]));
8   }else{
9        return json_encode(array("user_id"=>false));
10   }

なお、usernameとpasswordはViewのFormからではなく、ajaxを使ってChrome拡張機能から送っています。

username = 333333,password = 333333の組み合わせは正しいため、ログインができます。
しかし、usernameを適当な値「haiufhr23879」などにしてもログインができてしまいます。

適切なログイン機能にするためにはどのようにすればよろしいでしょうか？