Я обычно аутентификацию вешаю на before_action, авторизацию указываю ручками для каждого метода каждого контроллера т.к. это проще. Так же я обычно правлю шаблоны скаффолдинга под текущий проект для того чтобы код авторизации генерился автоматом.
При использовании pundit можно на after_action повешать проверку была ли проведена авторизация(см. доки). Вкупе с тестами, покрывающими все экшены контроллеров, это проверка помогает не забыть сделать авторизацию.
Еще для политик pundit можно писать тесты, иногда это оправданно, если политики со сложной логикой.
Так же я видел проекты где тесты контроллеров для проверки авторизации выполнялись под разными ролями, но это, мне кажется, плохой подход т.к. много зависит от ручной работы по приведению в соответствие кода и тестов.
