Лучшие практики Permission Management на React клиенте

Ситуация довольно простая, есть asp.net core web api сервер и React клиент. На сервере есть менеджмент прав доступа, что бы "не званый" юзер, не отправил get или post запрос на не нужный эндпоинт.

Задача: отображать секции на sidebar, которые доступны пользователю. Тут всё просто.

На MVC всё делается довольно просто, путём просто inject какой-то реализации CurrentUserContext или подобных подходов. Как быть с этим на стороне React?

Я могу передавать роль юзера, какие-то данные о нём. Проблема в том, что я не хочу перекладывать менеджмент доступа на клиента. В системе есть менеджмент прав доступа, которые выдаются отдельно для каждого юзера (или роль). При изменении логики прав для юзера (или роли) придётся изменять не только логику работы сервера, а ещё и менеджмент прав доступа на клиенте. Думаю, это так не должно быть.

Есть несколько решений "в лоб", по типу, выдать список доступных секций, но это будет уже hardcode, что так же не очень. Стоит отметить, что секции статичны на клиенте и добавляются только по требованию Заказчика (нет CMS логики с управлением контентом на странице).

Вопрос

Какие есть допустимые практики с точки зрения разработки микросервисов (или SPA + API), и какие практики считаются лучшими?