К существующему CRUD API нужно добавить аутентификацию и авторизацию. Регистрация по email+password, JWT-токены, refresh, роли (user/admin). Какие компоненты тебе нужны, что выбрать, какие подводные камни.