Самый простой способ:
1. В объект сессии (или профиль авторизированного пользователя) добавляете роль, или роли. Это могут быть битовые маски или просто стринг (например 'admin').
2. Пробрасываете через DI этот объект в роут, контроллер и компоненты.
3. В роуте делаете проверку прав и редиректите, если к этому разделу нет доступа, например это админский раздел.
4. В шаблонах делаете проверку на роль, и выводите соответствующий интерфейс.
Полезно будет где-нибудь в конфигах сделать табличку прав и смотреть ее при проверке прав.