Как я бы поступил.
Ход моих мыслей.
...
В идеальном мире
back end and
frond and не должны знать о существовании друг друга, но речь не об этом.
Бизнес логика в
back end, будет своя.
Бизнес логика на сайте, мобильном приложении так же будет своя.
Было бы не плохо иметь специальный метод, который возвращает эти самые привилегии списком.
А уже потом, в (мобильном приложении, сайте) на основе полученных данных скрывать те или иные разделы.
Опять же, если юзер используя
UI, пытается получить те или иные данные по API, Он однозначно должен выступать с определенными разрешениями, которые запрограммированы в самом
back end.
К чему я виду, даже если вы скроете кнопки визуально, злоумышленник или юзер без привилегий все ровно может получить доступ к данным.
Поэтому в первую очередь, разрешения, роли нужно программировать на уровне API