Hola,
Como ya te han dicho,
Cita: obtenerlo directamente con html desde el php y mostrarlo, pero me parece algo sucio
Esto no es sucio , es como debería ser.
Nunca un proceso de privilegios o crítico debe llevar la logica en el javascript del cliente,repito nunca
nunca.
Por poder hacerlo ... puedes ,e incluso puedes hacer que aparentemente funcione ,pero en realidad esta mal.
En mi opinión deberías replantearte la lógica de tu aplicación.
Como compruebas el nivel de acceso del usuario en cuestión?
Con sessiones?
Como obtienes/generas el json?
El hecho esque tu debes saber discriminar y enviarle a quien le pertoque un json u otro.
Por favor muestra código porque sino no podemos adivinar y ayudarte.