Desconheço essa informação de que o nível de acesso não usa nem cookies, nem session nem token. Não faço ideia como conseguir sem um desses.
O padrão é usar token, assim como ensino no treinamento.
Veja que no token há a parte de payload que você pode colocar o que quiser dentro dele, por exemplo, permissões específicas do usuário.
Sendo assim, toda vez que o token for enviado o servidor descriptografa e verifica se dentro do payload ele tem ou não o papel ou perfil de acesso desejado.
Hoje no projeto você grava o login, mas podia ser qualquer coisa.