存储库模式和分层.我在哪里申请保安？

我正在尽我所能来设计我的网络应用程序与层之间的良好分离.我正在使用存储库模式,因此有一个SQLObjectRepository,它由我的Web服务调用,由我的Web前端调用.

在我的对象模型中,用户与一个或多个区域相关联,这些区域应该过滤他们应该有权访问的对象.我的问题是,当我查询对象时,是否将代码放在服务中以设置对象的权限,或者该代码是否应该存储在存储库中？如果用户是2个区域的成员,我应该将用户作为参数传递给服务,还是应该将用户的区域传递给服务？