Никак неправильно. Если ты про рендер, то работаешь через сокеты и рендеришь нужный контент. Если ты про спа только на клиенте, то через апи проверяешь есть ли доступ к нужным данным. А если ещё и хочешь 2 отдельных спа для авторизованных и нет - тебе нужно для разных роутов свой статик отдавать на сервере