Веб-приложение - Контроль доступа

Я работаю над контролем доступа для веб-приложения

Доступ пользователя будет определяться на основе -

К какой группе принадлежат пользователи? К какому проекту у пользователя тоже есть доступ? Какие роли он имеет - обычный, суперпользователь, администратор?

Моё требование я пытаюсь выполнить -

1. Пользователь может принадлежать к нескольким группам. Похоже много-много отношений между группой и проектами.

2. Настраиваемые роли

3. Как проверка на стороне сервера, так и проверка интерфейса -

4. Доступ на основе времени

5. Попытки доступа на основе - то есть ограничение времени, которое они могут просматривать / редактировать / удалять

6. Поскольку мое веб-приложение уже разработано, изменения для добавления контроля доступа должны быть минимальными.

7. Уметь определять нейтральный контент, к которому могут обращаться все пользователи

Ограничения, с которыми я сталкиваюсь: - Как реализовать в веб-интерфейсе? При проверке на стороне сервера я буду проверять, есть ли у пользователя доступ к проекту и каковы его роли. Как реализовать эту роль в веб-интерфейсе? Если я включаю / отключаю показ / скрытие элементов DOM (например, отключение кнопки редактирования / удаления или скрытие графика) на основе ролей, пользователь может просто редактировать HTML в браузере.

Кроме того, мне нужны советы о том, какие еще хорошие варианты использования есть в профессиональных структурах контроля доступа, которые я могу добавить?