API WEB - Autorizar no controlador ou no nível da ação (sem autenticação)
Eu tenho uma API existente que não possui autenticação. É uma API Web pública que vários clientes usam, fazendo pedidos simples.
Agora, há a necessidade de autorizar o acesso a um determinado método.
Existe alguma maneira de fazer isso, mantendo o restante dos controladores e respectivos métodos "abertos" para os clientes que já usam essa API da Web?
Como posso identificar se a solicitação tem permissões para acessar esse método "protegido"?