beforeFilterファンクションでloginアクションが入っていないか確認する

これを確認してください。

正直これだけです。

beforeFilterファンクションはisAuthorizedファンクションとは逆で、全部処理を通すよ、というファンクションです。

なので関連があると言って良いでしょう。

公式ドキュメントを見るとbeforeFilterファンクションのところにこう書いてあります。

＞allow のリストに "login" アクションを追加しないでください。
＞そうすると AuthComponent の正常な機能に問題が発生します。

シンプルな認証と認可のアプリケーション - 3.9

これは認証と認可をするAuthComponentが上手く動作しなくなるということです。

自分はよくわからずlogin画面は認可されていないユーザーでもみんなアクセスしたい…と思って足していました。

するとisAuthorizedに処理が通らなくなってしまっていました。

気をつけたいです。

終わりに

以上となります。

地味な点ですが、セキュリティに大きな影響を及ぼすので気をつけたいです。

ありがとうございました。