授权权限和UI元素可见性-如何干净地实现它?

有些角色具有权限集;系统管理员可以创建新角色并为其分配权限;每个web控制器方法都有一个属性来检查特定的权限。到现在为止,一直都还不错。

但接下来我与客户进行了以下对话:

I:“好的,所以这个角色的用户不应该有修改这些字段的权限,对吗?我还可以向保存数据的方法添加权限检查。”

因此权限系统被“伪权限”弄得乱七八糟,比如“请参见表单Y中的字段X”。它们的存在只是为了方便用户界面,与对数据执行活动的授权无关。

通过角色&控制UI是一种好的做法吗;权限,即使特定权限与数据处理授权无关?是否有一个干净的解决方案来避免将权限系统实现与此类仅限UI的伪权限混淆,并且仍然为客户提供细粒度控制,以实现特定角色的更干净UI?