如何为asp.net mvc和web API实现相同的认证机制

目标是创建一个可以被本地移动设备(ios, android, win phone)以及具有各种表示层的web应用程序(asp.net core MVC, angular)共享的api。

计划使用asp.net核心web api来实现将被移动客户端和javascript客户端使用的REST api。我的问题是，因为其他表示层，如asp.net MVC将使用理想的安全逻辑应该放在哪里?如果我们在REST api中添加检查，那么asp.net MVC应用程序控制器将不得不使用HttpClient调用REST web api，而不仅仅是引用业务层(共享类库)。

每个应用程序的身份验证将由json web令牌处理，因为它们是移动友好的，可以轻松扩展。我的问题是关于授权安全性和它在哪里。

选项1:

web API(安全在此)>业务/服务层>数据访问层>数据层

选项2:Web API>业务/服务层(此处安全)>数据访问层>数据层

在选项1中，这对于移动和客户端前端来说是很好的，因为它们必须调用REST api，但是asp.net核心MVC必须使用HttpClient来调用REST api，而不是调用组成业务/服务层的共享类库。

在选项2中，所有REST api负责的是调用到业务/服务层，在那里处理安全性。