Конечно можно решить эту задачу и с помощью Active Record используя
сценарии и
безопасные атрибуты
Но как по мне это не совсем правильно с архитектурной точки зрении, т.к:
1. Мы получаем сильную связанность авторизации и AR пользователей - а это не хорошо
2. Нагромождаем AR пользователей лишним кодом, что само по себе усложнит понимания кода.
А с учетом того что система может расширяться в будущем эти два фактора очень повлияют на поддержку, т.к. когда код сильно связан и нагроможден с ним очень сложно работать.
Более правильно, на мой взгляд, выносить авторизацию и всю логику связанную с ней в отдельную модель наследуемую от \yii\base\Model, которая уже будет в своей работе использовать AR User
