Хранить в модели пользователя права доступа, помечать нужные конторллеры подходящими правами и управлять доступом к ним (к примеру если прав нет редирект на 403)
В Asp.Net оно уже реализовано чтобы не изобретать колесо..
тут есть подробнее
https://habr.com/ru/post/322566/