Eu li alguns artigos sobreControle de acesso baseado em função, mas não é claro o suficiente para lidar com este caso: como implementar "usuário pode excluir seus próprios posts"?

Para funções e permissões normais, quando o usuário faz algo, posso apenas verificar se as funções e permissões do usuário têm e determinar se o usuário pode fazer isso.

Mas para "o usuário pode deletar seus próprios posts", tenho que checar se as postagens pertencem a ele ou não. Então eu tenho que codificar algo, então está fora do controle do sistema de controle.

Sinto falta de algo e como fazê-lo corretamente?