В общем случае проблема разграничения доступов решается на бэкенде - непосредственно на уровне доступа к данным.
Если это сделать - на фронте подойдет и json - если злоумышленник его и подменит, он не получит от этого профита - даже если он и зайдет в закрытый раздел, он все равно ничего не сможет сделать.
