可以用rbac解決，admin設(shè)置為角色 role，news和product設(shè)置為任務(wù) task。
1、在config/main.php中加入authManager設(shè)置：
'db'=>array(
'connectionString' => 'mysql:host=localhost;dbname=ooxx',
'emulatePrepare' => true,
'username' => 'xxx',
'password' => 'xxx',
'charset' => 'utf8',
),
'authManager' => array(
'class' => 'CDbAuthManager',
'connectionID' => 'db',
),

2、在數(shù)據(jù)庫(kù)中創(chuàng)建rbac對(duì)應(yīng)系統(tǒng)表。在 yii-1.x.xx\framework\web\auth 這個(gè)目錄下找到數(shù)據(jù)庫(kù)對(duì)應(yīng)腳本，在數(shù)據(jù)庫(kù)中執(zhí)行創(chuàng)建操作，編碼之類的可以自行修改。

3、編寫設(shè)置權(quán)限關(guān)系的代碼，按照你的設(shè)定有news和product操作權(quán)限，執(zhí)行一次即可（注意本代碼適用于Yii最新的版本，我用的是1.1.13，早期的一些版本需要把createAuthItem替換成對(duì)應(yīng)方法，請(qǐng)查看Yii api）：
$auth = Yii::app()->authManager;

// 清除所有權(quán)限設(shè)置
$auth->clearAll();

// 創(chuàng)建操作
$auth->createAuthItem('newsAdd', CAuthItem::TYPE_OPERATION, '新增新聞');
$auth->createAuthItem('newsRecommend', CAuthItem::TYPE_OPERATION, '推薦新聞');
$auth->createAuthItem('productAdd', CAuthItem::TYPE_OPERATION, '新增產(chǎn)品');
$auth->createAuthItem('productDel', CAuthItem::TYPE_OPERATION, '刪除產(chǎn)品');

// 創(chuàng)建任務(wù)
$auth->createAuthItem('newsManage', CAuthItem::TYPE_TASK, '新聞管理');
$auth->addItemChild('newsManage', 'newsAdd');
$auth->addItemChild('newsManage', 'newsRecommend');

$auth->createAuthItem('productManage', CAuthItem::TYPE_TASK, '產(chǎn)品管理');
$auth->addItemChild('productManage', 'productAdd');
$auth->addItemChild('productManage', 'productDel');

// 創(chuàng)建角色并指定可以執(zhí)行的任務(wù)
$auth->createAuthItem('admin', CAuthItem::TYPE_ROLE, '超級(jí)管理員');
$auth->addItemChild('admin', 'newsManage');
$auth->addItemChild('admin', 'productManage');

// 為用戶賦予角色權(quán)限
$auth->assign('admin', 'user01');

4、在需要檢查權(quán)限的地方：
// 如果是檢查操作operation
if (Yii::app()->user->checkAccess('productAdd'))
{
// 當(dāng)前用戶擁有新增產(chǎn)品的權(quán)限
}

// 如果是檢查用戶的角色role或者擁有的任務(wù)task 權(quán)限

if (Yii::app()->authManager->isAssigned('admin', Yii::app()->user)) {
// 當(dāng)前用戶擁有角色admin
}