Rest авторизация на Yii2

Пытаюсь реализовать авторизацию через rest, возникла проблема с доступом в кабинет. Behaviors не использую, то есть успешно провожу аутентификацию самостоятельно и возвращаю на фронт токен, который там хранится в localStorage.

public function actionLogin(){
   if($model->auth()) {
     return [
       'token' => $token
   ];}
}

Но проблема в том, что когда пользователь введет в строке браузера (сайт/office), я не могу передать токен в headers и он попадает в кабинет без аутентификации. Как мне ограничить доступ в личный кабинет пользователя(сайт/office), если я не использую куки и сессию? То есть не храню Yii::$app->user->identity. Контроллер кабинета:

public function actionIndex()
{
    return $this->render('index');
}