Eu tenho uma API existente que não possui autenticação. É uma API Web pública que vários clientes usam, fazendo pedidos simples.

Agora, há a necessidade de autorizar o acesso a um determinado método.

Existe alguma maneira de fazer isso, mantendo o restante dos controladores e respectivos métodos "abertos" para os clientes que já usam essa API da Web?

Como posso identificar se a solicitação tem permissões para acessar esse método "protegido"?