Lieber Hans95,
es ist eine Sache, für Anzeigezwecke die Berechtigungen eines Users in für JavaScript verarbeitbaren Dateien oder Strukturen bereitzustellen. Es ist aber eine andere Sache, auf der Serverseite mit Requests (AJAX oder andere) umzugehen und Berechtigungen zu prüfen.
Ja, es wäre fahrlässig, wenn man das System so aufsetzte, dass die vom Client gesandten Daten als Grundlage für Berechtigungen verwendet würden. Und es ist noch einmal eine ganz andere Sache, wenn man so in die Berechtigungen aller User Einsicht nehmen könnte. Das sollte in der Tat so nicht sein.
Ob nun AJAX im ursprünglichen Wortsinne (asynchronous JavaScript and XML) verwendet wird, oder damit nur „mit JavaScript asynchron (z.B. fetch-API)“ gemeint ist, spielt dabei keine Rolle.
Liebe Grüße
Felix Riesterer