С одной стороны, ты прав, с другой - толпы леммингов побегут в какой-нибудь ларавел с криками о том, что там такое есть, а в yii - нету. Маркетинг такой маркетинг)
Там сессии вынесутся и не будет зависимости на yii-web
Есть вот такое предложение. Сделать реализацию на сессиях $_SESSION + сделать отдельный паакет yii-csrf с конфигом, провайдером и реализацией на сессиях yii