Que tal pgryu, estás usando algún framework en particular?

Por ejemplo, con Zend puedes decirle al método preDispatch que haga verificaciones antes de iniciar cualquier acción de controller, a su vez puedes crear un controller genérico donde todos los demás hereden y generen validación por sesiones.

Puedes hacer uso de Zend_Acl como también algo más artesanal, como validar a qué controllers / actions tiene acceso el usuario y a cuales no.

Son ideas nada más