Может ли безопасность быть общей проблемой?

Я работаю над проектом с очень подробными требованиями к безопасности. Честно говоря, я не удивлюсь, если предложенная модель будет такой же сложной, как для любого агентства разведки / безопасности. Теперь я прочитал, что включение безопасности в бизнес-логику - это смешение проблем и, следовательно, практика, которой следует избегать.

Однако, все попытки абстрагирования безопасности либо потерпели неудачу, либо создали «абстракции», как и раньше. Возможно ли, чтобы безопасность была настолько специфичной, что она стала частью бизнес-правил? В некоторых ситуациях, нарушая безопасность, только маскирует данные, тогда как в других ситуациях сеанс завершается, а в других случаях вместо этого будут использоваться значения по умолчанию. Существует множество требований, которые соответствуют привилегиям безопасности.

Мой фундаментальный вопрос: могу ли я быть в исключительном случае (то есть в том, где включение безопасности является разумным), или я не понимаю чего-то фундаментального об абстрагировании безопасности?

Изменить:

tl; dr (ответов, как я их понимаю): аутентификация (кто вы) - это очень сквозная проблема, и ее следует абстрагировать, тогда как авторизация (что вы можете сделать) - это бизнес-логика. Отсутствие этого словаря и наличие только термина «безопасность» (или, возможно, непонимание различия между ними) привели меня в замешательство.