Мой опыт в основном связан с PHP, поэтому вам, возможно, придется преобразовать концепцию в ASP.NET;)
Если код является частью того же веб-приложения (или на том же экземпляре сервера), и я хочу заблокировать его, так как он находится за системой аутентификации, я сохраняю переменную в сеансе, говоря, что пользователь аутентифицирован , Вы можете сделать то же самое с ASP.NET и состоянием сеанса. Зависит от того, имеет ли веб-служба или все, что обслуживает JSON, доступ к этому состоянию сеанса пользователя.
Другим вариантом является создание какого-либо хеш-ключа на стороне сервера, засеянного закрытым ключом. Передайте это через ваши запросы службе JSON, которая также знает закрытый ключ. Проблема этого решения заключается в том, что необходимо убедиться, что служба JSON правильно расшифровывается, и люди все еще могут использовать службу JSON другими способами.