Попытка реализовать отдельный компонент для oAuth авторизации в свой же API. Не тестировал, не проверял работу, просто пушнул, чтобы потом продолжить в дргуом месте.

api/components/ApiUser/AuthChecker.php

@@ -0,0 +1,22 @@
+<?php
+namespace api\components\ApiUser;
+
+use common\models\OauthAccessToken;
+use yii\rbac\CheckAccessInterface;
+
+class AuthChecker implements CheckAccessInterface {
+
+    /**
+     * @inheritdoc
+     */
+    public function checkAccess($token, $permissionName, $params = []) : bool {
+        /** @var OauthAccessToken|null $accessToken */
+        $accessToken = OauthAccessToken::findOne($token);
+        if ($accessToken === null) {
+            return false;
+        }
+
+        return $accessToken->getScopes()->exists($permissionName);
+    }
+
+}