Buenas a todos, soy nuevo en cakephp, estoy haciendo una aplicación web en cakephp 2.3.5, mi aplicación tiene varios controladores con sus modelos correspondientes, en cada controlador tengo actions con sus respectivas vistas y otros actions que son simple funciones sin vistas que son utilizadas por los otros actions, tengo dos dudas :

- Uno, de los actions por ejemplo es la de eliminar una entidad, ¿hay alguna manera que el usuario no ejecute las acciones a través del explorador escribiendo la URL (por ejemplo http://www....com/estudiantes/delete/6)?, osea que solo se puedan lanzar los actions navegando por la web.

- Dos, la pagina tengo varios user que pertenece a un roles diferentes, lógicamente habrá action en los que un perfil en concreto no pueda usar y otros que sí, para ello utilizo la funcion "isAuthorized" en cada controlador, controlando cada acción y viendo el usuario y el rol que tiene usando la sesión, ¿sería correcto?

Un saludo y gracias.