Как обезопасть WebAPI от лишних действий?

Привествуют.

Назрела идея проекта, который надо реализовать. Публичный сайт-сервис со своими клиентам (пользователями).
Реализовывать его хочется на Angular2 + WebAPI. Но вот проблема. Сервис не то, чтобы сверх секретный, но нужно как-то обезопасить базу от ненужных действий, которые могут выполняться людьми умеющие открывать консоль разработчика в браузере и знают про вкладку Network.

Какие есть хорошие способы избежать раскрытия всех запросов к WebAPI или блокировки выполнения действия на стороне сервера, если это действие выполниться, по логике, не должно? Привязка в ключам отпадает - сайт же будет как-то обращаться в WebAPI, а значит и сольет ключ в консоли. Куки и сессии тоже в помойку, ибо создать учетку в сервисе и стырить строки из консоли ни чуть не сложнее, чем найти ключ в запросе.

Что подскажите коллеги?