как реализуют следующую задачу:
юзер имеет право на атрибут другого юзера (объекта) если является хозяином (начальником, владельцем) этого объекта.
Вариант 1:
считать на лету - при расчете права вычисляем является ли он хозяином.
минусы: - бред, если расчет даже простой, то при каждом обращении (на просмотр, на запись) одно и тоже рассчитывать.
Вариант 2:
кэшировать - один раз рассчитали - кудато записали.
Минусы: при изменении хозяина объекта надо сбрасывать кэш. Для этоого нужна какаято система, ее надо както писать. Кроме того может быть дофига данных - владельцем объетка может быть несколько хозяинов, в итоге это идут перестановки тысяч а то и миллионов объектов по их хозяевам. Получается что кэш (а это будет таблица в БД) растет и вскоре уже поиск в ней может стать тормозным (а может и нет) возможно его придется чистить (наверно неправильно иметь терабайтный кэш).

Как быть? Желательны не пустые домыслы а решения используемые в реальных системах.

кстати во втором случае сброс кэша не тривиален, ибо если сменили владельца у группы, то у всех членов группы надо тоже сбросить кэш, а так как группы могут содержать группы..... очистка кэша может стать еще более трудоемкой чем расчет одного права на лету (вернее она в некоторых случаяъ станет в разы (может миллионы) более трудоемкой)

kosh the bestНачните хотя бы с русской вики :)
acl
там ничего умного. Роли кстате есть (но и отношения есть которые не забиты группами). А в другой системе неооходима возможность на конкретные группы и юзеров.