Разграничение доступа пользователей к web ресурсам

Имеется web-приложение, в которое входит api, например, оно доступно по localhost/api

Имеется 2 вида пользователей user1 и user2, которые должны видеть разные ресурсы, например localhost/app1 и localhost/app2, работа которых сводится к выполнению ajax запросов к api. Приложения app1 и app2 используют исключительно html+css+js, api написано на php

Подскажите, пожалуйста, каким образом можно более правильно разграничить доступ так, чтобы user1 мог ходить на app1 и при попадании на app2 получал сообщение, типа "нет доступа". То же самое и со вторым: user2 - app2

Единственное решение, которое я могу предположить - это на каждой странице с помощью js отправлять запрос на возможность доступа пользователя к ресурсу, но мне кажется, что это решение громоздкое.

Понимаю, что на user1 в app2 может увидеть только структуру страницы, но не данные (т.к. данные разграничены по api_token), но хотелось бы чтобы он и этого не видел.