授权标记在不同的DLL中不起作用

我有两个项目

• Web Api
• DLL类库

Web Api引用DLL中的类和方法。WebApi还使用开箱即用的ASP.NET标识进行安全保护。

Web Api控制器方法使用[授权]标签进行保护，如下所示：

[Authorize]
[HttpGet]        
[Route("", Name = "GetStuff")]        
public IHttpActionResult Get()        
{            
List<Stuff> Stuffs= LookUpBusinessLogic.StuffGetAll();            
return Ok(Stuffs);        
}

DLL也有这些标签来保护其方法调用，例如：

[Authorize]
public static List<Stuff> StuffGetAll()        
{
//Get data from somewhere
...            
return Stuffs;        
}

我面临的问题是authorize标记在DLL方法中不起作用。

我可能完全不知道主叫用户的身份是如何传递的。我想问：

调用用户标识是否在DLL之间传递？

如果没有，在我的例子中，有没有一种方法可以基于用户身份来保护DLL方法？

[AttributeUsageAttribute(AttributeTargets.Class|AttributeTargets.Method, Inherited = true, 
AllowMultiple = true)]
public class AuthorizeAttribute : FilterAttribute, IAuthorizationFilter