Можно попробовать акл вешать на роуты, имхо. У меня АКЛ, не на уровне записи, а на уровне доступа к роуту+екшн, и привязка идет к набору групп в которых состоит пользователь. Есть 3 дефолтовых группы, Админы, Авторизированые пользователи, Анонимные пользователи. Потом есть ф-я которая получает на вход роут, и список групп, и выдает есть доступ или нет. В общем вешать права на группу и только, т.к. если вешать и на группу и персонально на пользователя, много геморроя. И такой функционал, где нужно персонально пользователю надо что-то уникальное запретить, встречается крайне редко. А если и появится, сделать для него группу, и занести его туда.