De forma bem resumida: não retorne a informação `isAdmin` para o frontend. Faça a checagem no backend, sempre que o usuário tentar acessar algum recurso protegido.

Ou, em vez de retornar esse JSON, outra alternativa é usar um [JWT Token](https://jwt.io/introduction) que contenha os papéis do usuário (sendo "admin" um desses papéis). Isso tem prós e contras (como tudo em computação), então não deixe de ler [aqui](https://stackoverflow.com/q/47224931) para mais detalhes.

Muito obrigado por sua resposta, vou analisar o link anexado.

De forma bem resumida: não retorne a informação isAdmin para o frontend. Faça a checagem no backend, sempre que o usuário tentar acessar algum recurso protegido. Ou, em vez de retornar es...