Файл myUser.class.php - это контроллер сеанса / хранилище, да. Вы можете создать свой собственный модуль безопасности, но многие используют плагины, упомянутые в ответе nselikoff . Они не идеальны, но делают достойную работу. Какой бы ORM ни использовался, вы обязательно должны начать с одного из этих плагинов и расширять / улучшать их, если вам это тоже нужно.
Ваши модули генератора администратора по умолчанию не защищены, нет, это зависит от вас, чтобы внедрить уровень безопасности. Кроме того, не думайте, что сгенерированные администратором модули предназначены исключительно для целей бэкэнда / бэк-офиса, так как может быть причина, по которой приложение внешнего интерфейса может потребовать его. Конечно, система, которую вы используете внутри своей компании или дома на локальном веб-сервере, не нуждается в уровне безопасности.
Изменение файла security.yml для защиты приложения, модуля или действия требует, чтобы вы указали страницу входа в settings.yml вашего приложения, но плагины безопасности помогут вам настроить это.