复杂的安全规则

Question

我所承担的任务在安全领域似乎是一个挑战。问题是建立一个具有以下功能的网站：

1. 复杂的 ACL 和查看权限。例如。客户的交易历史记录应仅显示在客户支持代理的门户中。
2. 多品牌。例如。如果客户支持代理是 Microsoft，那么他们应该只能访问该用户子集，并使网站的外观与他们的品牌相匹配。如果代理商是苹果公司，那么对其客户和品牌也采取同样的做法。

第 1 项是标准安全性。第二项（多品牌）似乎让事情变得过于复杂。

为了满足上述要求，似乎每个门户和访问请求都需要考虑以下因素：正在查看的品牌、用户角色、对象及其对给定品牌的成员资格。

我该如何解决上述问题？有没有关于如何构建安全的多品牌网站的文献？