Пользователь - это всего лишь запись в базе данных, которую мы можем сопроводить всякой информацией; не только id/логином/паролем, но и той же ролью.
Можно использовать как минимум два подхода, но они примерно одинаковые:
1) api просто отдает пользовательскую роль, а далее клиент сам решает, какие элементы и страницы пользователь может просматривать
2) api возвращает список прав для пользователя, который определяет функции / страницы, которыми пользователь может использовать на клиенте.
Однако, нужно предусмотреть, чтобы api мог контролировать все авторизованные запросы и те, где роль пользователя не соответствует выполняемой операции, прекратить.
Но все это пишут руками. Возможно, можно найти на гитхабе в репозиториях то, что вам подойдет.
Средний
