реакт и так работает с запросами через API, если бек стоит через фреймоврк JS то думаю сначала нужно составить хорошую RBAC затем сделать Secure Object Reference чтобы не воникало Information Disclosure или тот же IDOR, и использовать хороший и сложный(в плане сложности необратимости) алгоритм для того чтобы каждый обьект имел уникальный айди или чтото того рода, а в плане произовдительности хорошо сочетается реакт и некст и опенграв на беке как рест (личное мнение)
реакт и так работает с запросами через API, если бек стоит через фреймоврк JS то думаю сначала нужно составить хорошую RBAC затем сделать Secure Object Reference чтобы не воникало Information Disclosure или тот же IDOR, и использовать хороший и сложный(в плане сложности необратимости) алгоритм для того чтобы каждый обьект имел уникальный айди или чтото того рода, а в плане произовдительности хорошо сочетается реакт и некст и опенграв на беке как рест (личное мнение)