Estoy haciendo mi mejor esfuerzo para diseñar mi aplicación web con una buena separación entre las capas. Estoy utilizando el patrón de repositorio y, como tal, tengo un SQLObjectRepository al que llama mi ObjectService al que llama mi front end web.Repository Pattern and layering. ¿Dónde aplico la seguridad?
En mi modelo de objeto, el usuario está asociado con una o más regiones que deben filtrar los objetos a los que deberían tener acceso. Mi pregunta es, cuando estoy buscando objetos, ¿pongo el código en el servicio para establecer los permisos en los objetos o debería estar ese código en el repositorio? Si el usuario es miembro de 2 regiones, ¿debo pasar al usuario como un parámetro para el servicio, o debo pasar las regiones del usuario al servicio?