В проектах ролевую модель доступа обычно строил на основе принципа RBAC (Role-Based Access Control). Для каждого типа пользователя (роль) определял набор разрешений — что он может просматривать, изменять, создавать или удалять.

Разграничение доступа описывал через:

Роли — например, администратор, менеджер, пользователь.
Права — операции, доступные в системе (чтение, запись, удаление).
Связь ролей и прав — каждая роль агрегирует определённый набор прав.

В технической реализации это мог быть конфигурационный файл, база данных с таблицами ролей и прав, либо встроенные механизмы фреймворков (например, Spring Security). В UI и API проверялось, соответствует ли текущий пользователь необходимой роли для выполнения действия.

Пример: роль "Менеджер" имеет права на просмотр и редактирование заказов, но не на управление пользователями. При попытке вызвать API для управления пользователями система возвращает ошибку доступа.

Расскажите о ролевой модели в ваших проектах. Как вы описывали разграничение доступа?