Защита RESTapi во флаконе

Приложение, которое я разрабатываю, использует много вызовов ajax. К сожалению, я наткнулся на загвоздку при исследовании того, как ограничить доступ к API. Например:

• у меня есть таблица, которая выполняет ajax-вызов http: // site / api / tasks / bob
  , мне нужно убедиться, что только bob, вошедший в систему, может прочитать эту таблицу (в противном случае тот, кто знает шаблон, может попросить показать Боба задач, просто введя URL-адрес в браузере).
• на другой странице та же таблица должна иметь возможность вызывать http: // site / api / tasks / all и отображать задачи все пользователи (это может делать только администратор)

Спасибо, что уделили время, прочитав это и, возможно, ответив на него.