В multi-tenant SaaS у тебя слои разрешений: tenant-policy, role-policy, resource-ACL, explicit user grants/denies. Как комбинировать (deny-overrides vs allow-overrides vs first-applicable), как избежать «accidental allow» и как тестировать?