允许Rest Api仅从浏览器调用访问

Question

我们使用web api 2开发了rest api，并使用Jwt web令牌从Angular 4前端应用程序访问它。这里如何限制从fiddler，postman等工具访问web api端点，即使他们发送带有效jwt令牌的请求（从浏览器本地存储中复制）？

感谢。