Onko täällä kenelläkään ajatuksia acl-pohjaisen autorisoinnin toteuttamisen suhteen, SOA-arkkitehtuurin mukaisessa sovelluksessa? Tyyppillisestihän Security Layer on toteutettu Application Layerin päälle ja erilaisilla interceptoreilla (esim. AOP:llä toteutettuna) vahditaan metodien suorittamista tarkistamalla käyttöoikeudet. Perustapauksiin tämä riittää vallan mainiosti, mutta sitten tulee tilanteita, kun pitäisi esim. tietylle käyttäjälle lisätä oikeuksia joihinkin persistoituihin olioihin, niin tällöin Application Layerin pitäisi suoraan päästä käsiksi acl:stä huolehtivaan palveluun ja tästä en pidä lainkaan: alempi kerros kun ei saisi keskustella ylemmän kanssa. Mitä mieltä siis olette Application tason ja Security tason sekoittamisesta keskenään? Saako Application taso olla tietoinen kirjautuneen käyttäjän identiteetistä vai pitäisikö sen toimia ns. yleisellä tasolla? Usein on myös haasteena se, että interfacen kautta pitäisi olla pääsy sekä jonkin tietyn käyttäjän omistamaan olioiden osajoukkoon ja taas toisaalta kaikkiin olioihin. Pitäisikö näissä tapauksissa olla kaksi eri metodia, joista toinen palauttaa kaikki oliot ja toinen vain tietyn osajoukon - vai peräti kaksi eri interfacea?
Aihe on jo aika vanha, joten et voi enää vastata siihen.