在ASP.NET Core MVC/WebAPI中，可以使用认证方案加匿名访问来实现身份验证和匿名访问的控制。下面是一种实现方法的示例代码：

1. 首先，在Startup.cs文件的ConfigureServices方法中配置认证和授权：

public void ConfigureServices(IServiceCollection services)
{
    // 添加身份验证服务
    services.AddAuthentication(options =>
    {
        options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme;
    })
    .AddCookie(options =>
    {
        options.LoginPath = "/Account/Login"; // 登录页面的路径
        options.AccessDeniedPath = "/Account/AccessDenied"; // 拒绝访问页面的路径
    });

    // 添加授权策略
    services.AddAuthorization();

    // 其他服务的注册...
}

2. 然后，在Configure方法中启用身份验证和授权中间件：

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // 其他中间件的配置...

    // 启用身份验证和授权中间件
    app.UseAuthentication();

    // 其他中间件的配置...
}

3. 在Controller的Action上使用[Authorize]特性来标记需要验证的访问：

[Authorize]
public IActionResult SecureAction()
{
    // 代码逻辑...
}

4. 在Controller的Action上使用[AllowAnonymous]特性来标记可以匿名访问的方法：

[AllowAnonymous]
public IActionResult PublicAction()
{
    // 代码逻辑...
}

使用这种方式，被标记为[Authorize]的Action将需要用户登录才能访问，而被标记为[AllowAnonymous]的Action则可以匿名访问。