Да, мне приходилось работать с решением, где пользаки бились на группы. Группы при этом могли быть вложены в другие группы. И к данным прицеплялся ACL, в котором было описано какие группы какие права имеют.

Просадки получали иногда знатные

я же говорю, теряешь сон минимум

Опять же, если фильтрацию выносить наружу, с одной стороны, можно сделать map-reduce, с другой стороны, хз как оно себя будет вести если данных - тонны

Кто-нибудь пробовал комбинировать эти подходы?

пробовали, если все скомбинировать - будешь врагом разработчиков, если все упростить - врагом бизнеса)

а если по середине  - для обоих будешь врагом)

идеальный кейс, как сказал Фил, убедить бизнес что им это не нужно

вспомнилось...
https://www.youtube.com/watch?v=qOtioVb2RLA

И тоже тормозит и из всех пользователей создавать пользователей Оракла - сложно и неудобно. И не позволяет работать с теми же организационными связями, насколько я помню.

Когда я последний раз такое делал, то получилось следующее:
1) У каждой сущности есть владелец - пользователь
2) Отдельный сервис оргструктуры, который умеет вычислять "чьи владения имеет конкретный пользователь" (подчиненных, заместителей и т.п., там сложная логика.
3) Каждый доменный сервис в токене получал пользователя, по нему запрашивал "схему владений" из 2) и кэшиовал ее.
4) Каждый доменный сервис использовал эту схему владений в своих запросах к БД (обычно в виде in....)
5) На это накладывались оптимизации вида "а еще есть регионы на 5000 пользователей, их руководителей в схемах учитываем специальным образом в тех сервисах, где это актуально)
6) Все прочие фильтры делаем на bff фильтрацией

Монструозненько, но для 100K внутренних пользователей и сложной структуры прав иначе не работало.

ну, в оракле да - я бы так не стал делать - потому что смешать пользователей и схемы было очень странным решением... и оно теперь как легаси-наследие тянется через все версии

Оно работает, у меня тут перед глазами огромная система, где каждый пользователь бэкофиса - учетка в Оракле с хитрой схемой прав. Но это очень сложно, да.

ну, это понятно - работать может что угодно 😊
просто работать с этим админу сложнее 😊
в одной большой нефтяной компании, например, безопасники требовали всегда, чтобы была сквозная авторизация - соответственно все пользователи AD заезжали в ORACLE 😊

от прям ровно то, что у нас получилосьььь

А права на операции - только на bff проверяли, внутри они никому не нужны особенно )

О, хорошо, что я не одинок в этом велосипеде.

а со сложной орг.структурой инчае ни как - мы всяко пробовали

Но если число пользователей в оргструктуре до 1000 - то можно их и прямо в токене передавать.