Si, cuando me autentico, creo una variable sesión con el datos del nombre del usuario y privilegio y en el constructor de cada controladora pregunto lo siguiente:

if (!$this->logged_in()) {
//they are not logged in
redirect("seguridad/index"); //for example
}

La funcion logger_in tiene:
function logged_in() { //verificar si el usuario esta autenticado en la sesion
return ($this->session->userdata("id_usuario") && $this->session->userdata("privilegio")) ? true : false;
}

Lo mas que me permite esta forma de seguridad es que cuando yo quiera acceder antes de autenticarme directamente a la controladora que quiero por url, no me deja, y me redirecciona a la controladora Seguridad q es la q me permite auntenticarme.

Pero eso no me resuelve de que una vez que yo me autentique, y me vaya a la controladora Cliente, y ponga en la url Administrador, cuando carga esa controladora administrador me sigue mostrando los datos del mismo usuario que se registro incluso como privilegio cliente. Cuando cambio de controladora por la url no se me borra los datos de sesion del usuario.