Es ist ja auch der Sinn eines Framework bzw. dessen Konfiguration, URLs an Klassen (CODE) zu binden: Routing. Somit kann man eine Zugriffkontrolle schon über die Anwendungsklasse regeln, zweckmäßiger ist es jedoch, dies in der Anwendungsklasse nur vorzusehen um dann nur noch per Konfiguration die Nutzer bzw. -Gruppe zuweisen zu müssen.

Idealerweise jedoch wird die ganze Policy vom Anwendungscode getrennt. Warum auch sollte sich ein Anwendungsentwickler mit Berechtigungen befassen müssen (Separation of concerns). MFG