そのため、SPA アプリで認証ではなく承認に取り組む方法に関するベスト プラクティスを見つけようとしています。
API バックエンドを備えたクライアント側 MVC (angular、vuejs など) があるとします。アプリの承認を使用してどのように管理しますか?
たとえば、ユーザーとマネージャーはどちらもアクセスできますが、一方は他方よりも多くのアクセス権 (ビュー内の機能) を持っています。両方がクライアント側で同じ UI を使用している場合、アクセスに応じて適切なビューをどのように保護およびレンダリングしますか? ロール/クレームのリストを取得し、それに基づいてクライアント側で何をレンダリングするかを決定するオプションがありますが、これは JS に基づいているため、簡単に回避できます。
クライアント側の mvc アプリは適切なソリューションではない可能性があり、SSR アプリはこれにより適しているように思えます。そんなときは携帯ケースはいかがですか?実際のネイティブ アプリを開発することなく、モバイル向けの同じ問題をどのように解決しますか?