Для тренировки делаю простой сайт и админку(удалить пользователя, удалить запись и тд) с помощью Yii2 advanced.
На сайте будут только пользователи, а доступ к админке имеет только админ.
В прошлом проекте делал сайт без админки и проверял отношения пользователя к материалу по его id. Вопрос 1: Чем плохой доступ через проверку по id? Вопрос 2 :
Сейчас начитался про RBAC и не понимаю в какой ситуации нужно его применять и чем не хватает простого Access filter?
RBAC не лучше и не хуже, это взаимодополняющие способы авторизации. Разница в том, что в случае RBAC вы описываете каждое разрешение явно, в отличии от неявного описания через сам код. Роли из RBAC можно указывать в Access Filter.