Вы можете добавить столько логики, сколько захотите, в свой PHP-код для своей бизнес-логики. Yii поддерживает множество способов добавления этой логики, например. LoginForm.php, UserIdentity.php, SiteController.php, ... вы не ограничены здесь.
Yii также поддерживает добавление фрагмента логики в ваш RBAC. Обычный вариант использования заключается в том, что вы назначаете два правила «Аутентифицированный» и «Гость» всем пользователям вашего сайта по умолчанию, но с помощью bizRules.
В то время как «Аутентифицированный» имеет bizRule вроде
return !Yii::app()->user->isGuest;
Гость имеет
return Yii::app()->user->isGuest;
В результате ваши вошедшие в систему пользователи уже не «Гости», а «Прошедшие проверку».
Другим примером может быть редактирование представлений для профилей пользователей, которые могут редактироваться только текущим пользователем, например
return $model->id === Yii::app()->user->id;