Eu sei que o Spring Security é bom para autorização baseada em permissão e função padrão. O que eu não tenho certeza é esse cenário:

Há 10.000 funcionários gerenciados no sistema, os funcionários organizados em um organograma (uma árvore de quem reporta a quem entre os departamentos). Alguns desses funcionários são usuários. Esses usuários só têm permissão para acessar os funcionários em sua linha de responsabilidade (sua ramificação na árvore / descendente de seu empregado).

Então, eu estou querendo saber como os sistemas Java EE (ou outros) modernos gerenciam essas verificações? O Spring Security Security (ACL) faz isso e como ele pode ser modelado?

Nossa antiga implementação (há muitos anos) é que quando um usuário acessa um funcionário, podemos verificar se o empregado solicitado é descendente recursivamente na árvore. Mas esta não é a solução ideal e queremos usar uma nova solução.