Vyacheslav

По моему мнению нужно использовать первый вариант.
Вся суть Promise, что с начального состояния мы можем перейти в состояние
* выполнено (fulfilled): операция завершена успешно.
* отклонено (rejected): операция завершена с ошибкой.

по логике, если возникла ошибка при асинхронной операции, то мы должны сделать reject(errors) и в дальнейшем обработать исключение в catch().

Второй вариант может неправильно отработать в цепочке Promise.all(iterable), когда нужен явно выполненный результат несколько Promise.

на клиенте можно что угодно сделать, но сервер это не должно волновать, если даже кто-то докопается до кнопки удалить пользователя (v-show=false - к примеру) вас, как бекенд, это не должно волновать - если нет прав на доступ к этому методу, он не должен выполняется. А ui просто должен следовать за сервером, нет доступа - нет элементов на странице. Ну в любом случае в v-router есть хуки которыми вы можете проверять доступ к переходам. Если сможете хорошо закешировать модель доступа - то это не повлечет накладных расходов на рендер.