Здравствуйте!

надо спроектировать схему управления доступа пользователей к данным. Управление должно быть достаточно гибким.
Попробую вкратце расписать основные положения.
Есть например проекты, договоры, счета, еще что-то. Есть центры, к которым могут относится проекты. По проектам могут создаваться рабочие группы, которые работают над этим проектом. В процессе работы над проектом в эти рабочие группы могут добавляться/удаляться пользователи.
Нужно гибкое управление доступом, то есть кому-то видно вообще все, кому-то (руководителям центров) видны все проекты и все связанное с ними по их центру, кому-то(участникам рабочих групп) видны только те проекты, над которыми они работают. Также идет разделение доступа по принципу видеть проекты/договора без каких то данных, или видно, но изменять нельзя и т.д.
Опять же данные могут просматриваться не только вот по проектам или только по договорам, а всяческие произвольные джойны для сводных таблиц и т.д. Так же естественно система этим не ограничивается, и потом могут быть добавлены еще какие-то сущности, о которых мы сейчас и не знаем, и управление доступом будет нужно и там...
Как все это спроектировать (на уровне БД тоже, например какие таблицы ввести для управления доступом и т.д.)? Может быть есть какие-то паттерны, статьи на эту тему?