Идеальный вариант - создать middleware слой между контроллером и роутером. Дать возможность подгружать туда middleware классы через конфигурацию или заранее определенную папку. Создать класс который и будет проверять сессию/куки. Обычно вся логика в таких классах лежит в методе 'run'.
Если не хотите усложнять, можете создать ApplicationController, в котором будет базовый функционал для всех контроллеров приложения, например, авторизация, и наследовать все остальные контроллеры от него.
Еще можно добавить авторизацию в качестве RequestInterceptor класса, который так же подключается к контроллеру (лучше к базовому) и реагирует на прописанные события контроллера. Подписываете перехватчик на beforeAction и проводите авторизацию. Последний способ больше для RESTful приложений.