if ( ($model->load($app->request->post()) !== false)
как-то так, например, делается создание новой модели с валидацией и прочей шелухой в yii.
за разграничение доступа к действиям над моделью отвечает контроллер. т.е. уже после проверки прав на действие идет работа с моделью.
