Почему бы четыре таблицы acl_* не объеденить в одну добавив поле action_id? (1 - select, 2 - insert, 3 - update, 4 - delete)

Не потребуется ли устанавливать права на конкретные строки? :-О

джанкерПри поле grant = NULL у пользователя есть право выполнения операций над строками внесёнными любым пользователем.Дефолты наверное правильнее сделать так:

grants
- user_id # not null
- author_id
- object_id
- action_id # not null
- grant # not null

При author_id IS NULL и object_id IS NULL и row_id IS NULL юзер имеет такой грант на такое действие на все строки во всех объектах. Строки с author_id IS NOT NULL имеют более высокий приоритет и обозначают права этого юзера на все строки во всех объектах этого автора. Самый высокий - со всеми полями NOT NULL.

Проверка тогда должна быть основана на бырорке "select ... where ( author_id = ? or author_id is null ) and ( object_id = ? or object_id is null )", из которой выбирается строка с наибольшим приритетом. (Может быть даже средствами SQL типа "order by author_id not null desc limit 1".)

P.S.: Может быть назначать права не на "физические" операции - с таблицами БД, а на "логические" - над объектами, которые там хранятся? (Допустим в БД есть таблица объектов, и таблица свойств этих объектов. Допустим, из логической модели системы следует, что юзер может иметь "логические" права на объекты автора, но при этом обязательно вместе с их свойствами! То есть "физические" права на таблицы objects и object_properties должны быть одинаковыми. При использовании предложенной вами схемы с "физическими" правами имеем дублирование данных, обусловленное логической моделью.)

P.P.S.: Disclaimer. :) Мне с такой задачей сталкиваться не приходилось, то есть опыта в этом нет.

P.P.P.S.: Вообщето-то этому топику правильнее в форум "Проектирование БД".