Authコンポーネントを利用したログイン処理で、はまりました。
たぶんの話ですが、処理順番を整理

1. Authコンポーネントが使われているページにアクセスする
2. Authコンポーネントが呼ばれて、AuthコンポーネントのStartup()が実行
   1. セッション情報が書き込まれる？
3. ログインチェックがされ、ログインされていないと、ログイン画面にリダイレクトされる
   1. ログイン画面であるコントローラーとアクションでも、Authコンポーネントが利用されている
   2. 一度呼ばれたときにセッション情報が書かれているので、アクセスしたかはわかる？
4. ログイン画面へのリダイレクトは、loginActionで設定されている
   1. しかも、controller => users, action => loginで
5. ログイン画面表示

なので、この一連の処理の流れに挟む形で、コントローラーのbeforeFilterでリダイレクトや、ルーティングでprefixがあると、リダイレクトにはまる事になるんじゃないか？と

で、はまったわけでした。

ルーティングでのprefixは、どこまで逆ルーティングが有効になるんだろう？