ASP.NET MVC授权：角色的权限

我知道这是一个一直被问到的问题，但是我试图在ASP.NET MVC应用程序中实现基于权限而不是基于角色的授权。因此，我不需要像Manager，Admin或User这样的高级角色，而是需要拥有ViewTask，AddTask，DeleteTask等权限。我已经阅读了大量的评论，似乎最简单的解决方案是将角色视为权限，并定义ViewTask，AddTask和DeleteTask的“角色”。

这样的做法真的是个好主意吗？我的一些担忧是，根据应用程序的大小，您可以获得超过100个角色，然后排除在Cookie中执行角色缓存的能力，因此每次调用User.IsInRole都会触发数据库。如果每个操作方法都将使用[Authorize(Roles =“XXXX”)]进行装饰，我会看到严重的性能问题？

我的另一个问题是，我仍然希望保持角色的概念，以便管理员可以简单地将用户与具有预定义权限集的角色相关联。使用我以上思路的方法是在我的应用程序名为Group中创建一个单独的实体，该组将负责跟踪分配给该组的ASP.NET角色。因此，当用户与组关联时，我可以检索需要分配给用户的ASP.NET角色并添加所有角色。

有没有人以这样的方式实施系统？对这种方法的任何意见或想法将不胜感激。

谢谢