Ich bin während des Webentwicklungsprozesses auf mehrere Sicherheitsautorisierungsprobleme gestoßen. Ich möchte meine Freunde um Rat fragen.

Fragenliste:

1. Sind Autorisierungslogik und Geschäftslogik in der Back-End-Entwicklung getrennt? Wie ist die Autorisierungslogik organisiert?

2. In der MVC-Architektur-Webanwendung muss der Ansichtsteil eine Menüliste einer Spalte anzeigen. Je nach den unterschiedlichen Rollen/Berechtigungen des Benutzers ist auch der Inhalt der Menüliste unterschiedlich. Regelmäßige Benutzer und kostenpflichtige Benutzer. Wie geht man mit einem solchen Szenario um?
+1) Nachdem die Back-End-Logik verarbeitet wurde, werden die Daten an die Ansichtsvorlage übergeben und zum Rendern durchlaufen?
+2) Das Backend gibt Basisdaten zurück, verarbeitet sie dynamisch in der Ansicht und generiert dynamisch Menüpunkte?

3. Wenn das Front-End und das Back-End getrennt sind, ist das Back-End für die API und die Front-End-Vuejs verantwortlich. Wie gehe ich mit dem Problem in Frage 2 um?

4. Wie ist die Sicherheitsautorisierung für Websites wie Zhihu, Douban, Segmentfault usw. gestaltet?
Werden die beiden unterschiedlichen Autorisierungsschemata acl und rbac gleichzeitig verwendet? Welche Szenarien gibt es?