Сделайте две области, одну с авторизованным доступом, а другую без

А как вы передаете все остальное?

Понедельник - трудный день.
К вечеру у меня начинает закрадываться подозрение, что я с этим не работал :-(

В общем, что, как мне показалось, я понял:
У вас win32 приложение, делает запросы к каше-базе в форме xml, в форме xml получает ответы.

В этом случае родную csp авторизацию сделать не получится, так как родная csp авторизация подразумевает ввод пароля на первой странице (причем, чтобы подменить базовую страницу, тоже придется поломать голову).

Придется думать свое.
Вот примерно какие мысли:
передаем в первом запросе данные пользователя, для начала имя и пароль в открытом виде (потом можно придумать что-то вроде шифрования по открытому ключу), получаем от сервера идентификатор сессии и далее в каждом запросе имеем его ввиду.
Так как ваше win32-xml приложение скорее всего не сможет поддерживать стандартную сессию каше (да и в xml запросах имеет сессию завершать после каждого запроса), то и идентификатор сессии вам придется придумывать тоже свой.

Мне показалось так