Я пытаюсь защитить созданный мной REST API, который принимает вход только с Google для определенных писем. Я хочу предоставить клиентскому приложению идентификатор сеанса через cookie, который javascript не сможет прочитать. Пока что я это рассмотрел, но я также хочу показать разные экраны каждому пользователю в зависимости от его роли (администратор / простой пользователь). Серверная часть создает сеанс для каждого вошедшего в систему пользователя, поэтому знает, является ли пользователь администратором или простым пользователем. Я думаю о создании конечной точки, которая позволит javascript знать, является ли пользователь, вошедший в систему в данный момент, администратором. Будет ли это работать? Есть ли у вас другие предложения?