سلام؛بنده هم همین مشکل رو دارم.
برای اینکه قسمت‌های مختلف که شما مطمئنا از ان اگاه نیستید و شاید بران تاثیر بگذاره رو نداشته باشید.
یک پروژه تازه رو باز کردم یک راست رفتم سراغ web.config این کد رو در قسمت system.web وارد کردم   بعد بلافاصله یک کنترلر به نام Home ایجاد کردم و یک view برای index اد کردم...
قبل از اکشن index  هم  [AllowAnonymous] رو قرار دادم
ولی بعد از اجرا هنوز هم دسترسی ندارم ...
Access is denied.  

آیا دلیل و نکته است که رعایت نکرده ام؟

قسمت «نحوه‌ی ارسال درخواست‌های Ajax ایی به همراه توکن صادر شده» را مطالعه کنید. اگر توکنی به سمت سرور ارسال نشود و هدر نهایی حاوی key/value مربوط به authorization ذکر شده نباشد:
مقدار access token در سمت سرور قابل بازیابی نخواهد بود.
با استفاده از developer tools مرورگرها بررسی کنید که آیا هدر authorization را به شکل زیر به سمت سرور ارسال می‌کنید یا خیر؟ (این هدر ویژه هست که actionContext.Request.Headers.Authorization را وهله سازی می‌کند)

درسته، درباره Claims-based authorization هم یک یا دو پست می‌نویسم.

توسط سایت SecurityHeaders.com هدرهای امنیتی سایت خود را چک کرده و در صورت نیاز، هدرهای مطلوب را به راحتی اضافه کنید.

با به روز رسانی اخیر امنیتی دات نت (تمام نگارش‌های آن) اگر در برنامه‌های «وب فرم» خود جایی enableViewStateMac=false دارید باید آن‌را true کنید.

در نگارش 4.5.2 تنظیم EnableViewStateMac=true به صورت اجباری و پیش فرض تنظیم شده.

راه‌حلی برای بهبود امنیت