Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

Es ist sehr umständlich und auch an einer Stelle unlogisch: Wenn das Berechtigungssystem in der DB abgebildet ist, warum müssen dann nach einer Abfrage die Berechtigungen erneut geprüft werden wenn es um Ausliefern von Content geht?

Weil bei HTTP alle Requests immer für sich alleine stehen?

Content Negotiation ist das Stichwort.

Du kannst das viel einfacher lösen mit einer Routing-Table und einer Klassenbindung an die entsprechenden Ressource:
  URL => Class

Verstehe ich nicht. Woher soll der rquest auf eine <img>-Ressource die Klasse seines Hauptdokumentes kennen, wenn er die nicht aus der Session bekommt?

Siehe Routing-Table.

Es funktioniert jetzt aber so, wie ich mir das vorgestellt habe.

Freut mich.

MfG