você pode usar tokens com níveis de autorização e rotas protegidas. no caso essas coisas seriam aplicadas no backend