pgryu, estaría bueno que nos comentes como te dijeron antes, si estás utilizando algún Framework en particular, o si estás con uno de factoría propia.

Pero conceptualmente, la idea es que ante cada petición revises los roles del usuario logueado (si lo hubiera, sino le asignas un rol más bajo existente a un visitante) y luego identifiques si ESE rol en particular, tiene acceso a la acción que estás a punto de ejecutar.

Si tuviera acceso, ningún problema, continúa la ejecución, pero de no tener permisos, sería conveniente que lo redirijas a un formulario de login para que ingrese. Pero recuerda, en tu sesión solo deberías tener la menor cantidad de información necesaria. El nombre de usuario y el rol, alcanzan para realizar las comprobaciones.

Saludos !