如何对web服务中的某些端点执行相互身份验证

我有一个。net MVC web应用程序，我将暴露一些端点，这些端点只应该被某些授权的内部应用程序访问。我希望通过某种形式的相互身份验证来实现这一点，这样web服务就可以验证调用者的身份。

我所见过的许多解决方案似乎都依赖于iis级别的配置，因此似乎适用于全局的web服务，而不仅仅是特定的端点。

让事情变得更复杂，我们系统中的所有内部请求首先通过ARR反向代理进行路由/负载平衡。因为ARR提供路由，所以我更倾向于将所有内容都保留在HTTP上，以避免除了ARR之外需要单独的路由机制来定位机器

我如何为这种场景配置某种形式的相互认证?