mayton , задача BE - обеспечить безопасность. Задача UI - показать те элементы, которые не будут создавать впечатление что у пользователя есть права хотя на самом деле их нет. Например, на этом форуме у админов наверняка есть возможность удалять посты. Было бы неправильно показать кнопку обычным пользователям - они бы получили ошибку если бы попробовали нажать на нее. Поэтому как BE, так и UI должны знать что пользователь может, а что не может.

При этом код (HTML, JS, CSS) и основные данные для страницы (тема, пост, авторы) оба пользователя возможно получат одинаковые и эти данные никак не влияют на отрисовку. UI будет основывать решение рисовать или нет как раз на роли/привилегиях. Это все что пытается донести Tsyklop .

вадя , да. Можно еще конечно на BE генерить HTML страницы, но счас это редкость - последний проект на котором я такое видел был 8 лет назад..

Ну если бы мы работали с серверными страницами, то за отрисовку отвечал бы другой фреймворк - JSP/Velocity/SiteMesh/etc. Но эта логика скорей всего все равно была бы в месте где мы генерим страницы. Какая разница это на сервере или в браузере бы делалось? Никакой.

И атаки должны останавливаться на сервере. Отрисовка HTML за security никак не отвечает. Разве что речь про XSS, однако тут опять же - где бы мы не генерили страницу, об этом надо помнить.