на клиенте можно что угодно сделать, но сервер это не должно волновать, если даже кто-то докопается до кнопки удалить пользователя (v-show=false - к примеру) вас, как бекенд, это не должно волновать - если нет прав на доступ к этому методу, он не должен выполняется. А ui просто должен следовать за сервером, нет доступа - нет элементов на странице. Ну в любом случае в v-router есть хуки которыми вы можете проверять доступ к переходам. Если сможете хорошо закешировать модель доступа - то это не повлечет накладных расходов на рендер.