در هر دو سیستم از JWT با استفاده از روش شما پیاده سازی کردم فقط در پروژه Api دوم برای احراز هویت به APi اول مراجعه می‌کند و اگر Token معتبر بود وارد Action در APi اول می‌شود.

بله. اینجا بحث شده.

+ یک نمونه مثال از یک برنامه‌ی Angular که از روش مبتنی بر کوکی ASP.NET Core برای اعتبارسنجی استفاده می‌کند (بجای استفاده‌ی از JWT).

Here’s a summary of what’s new in this preview release:

• Improved startup debugging experience
• Blazor
  • Form model binding & validation with server-side rendering
  • Enhanced page navigation & form handling
  • Preserve existing DOM elements with streaming rendering
  • Specify component render mode at the call site
  • Interactive rendering with Blazor WebAssembly
  • Sections improvements
  • Cascade query string values to Blazor components
  • Blazor Web App template option for enabling server interactivity
  • Blazor template consolidation
• Metrics
  • Testing metrics in ASP.NET Core apps
  • New, improved, and renamed counters
• API authoring
  • Complex form binding support in minimal APIs
• Servers & middleware
  • HTTP.sys kernel response buffering
  • Redis-based output-cache
   

- نکات مطلب «اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity» را با این پروژه یکی کنید (قسمت تولید توکن و قسمت تولید Claims آن).

ضمنا در ASP.NET Core، بخش MVC و Web API یکی هستند. یعنی زمانیکه کاربر لاگین کرد، در یک کنترلر هم می‌توان متدهای Web API را در اختیار او قرار داد و هم MVC را. بنابراین الزامی به استفاده‌ی از JWT برای کار با Web API آن وجود ندارد. JWT فقط یک روش اعتبارسنجی دیگر است. کلاینت‌ها در حین کار با JWT باید اکسس‌توکن را به سمت سرور ارسال کنند؛ در حین کار با کوکی‌ها، کوکی تولید شده‌ی پس از لاگین را. مابقی آن یکی است. یعنی این پروژه الزاما نیازی به تلفیق با JWT ندارد. کوکی‌ها، هم در برنامه‌های MVC و هم در کلاینت‌های غیر MVC قابل استفاده هستند.

- مربوط است به استفاده از تامین کننده‌های لاگین خارجی مانند گوگل، توئیتر و غیره.

این نوع بکارگیری دستور switch جالب بود: (که در C# 8 اضافه شده است)