使用单一身份认证层对多个WebAPI进行身份验证

我一直在思考如何简化我们当前/未来的WebAPI的身份验证。虽然我是新手，但我会尽力解释清楚。我们从一个单一的WebAPI开始，并设置 ASP.Net Identity 来处理身份验证等问题。之后我们设置了另一个，很快就会有30个。

这里的问题是显而易见的 - 对于每个新的WebAPI，我们都必须插入另一个MS Identity授权层。在某些情况下，只有一个单一的大型WebAPI可以工作，但在这种情况下，这些是完全独立的产品（加上它的糟糕设计）。
因此，我们希望实现类似于这样的东西：

但我很难弄清楚每个WebAPI如何获取用户信息，以便我可以检查角色等信息。我已经阅读了许多关于WebAPI身份验证的帖子，例如：this this和this，但似乎我找到的所有内容都与保护单个WebAPI有关，而我们已经知道如何做到这一点。感觉我们需要为我们的WebAPI采用SSO方法。几乎感觉我们需要像使用自己的后端数据库那样使用外部身份验证方法（如Facebook、Twitter等），但我不知道正确的术语。因此，我求助于专家，帮助我朝着正确的方向前进。

• 每个WebAPI都有自己的身份验证/授权层，它们都指向同一个数据库，这是常见的做法吗？
• 单一身份验证层的概念是否已经内置在WebAPI/Identity中，还是我需要从头开始构建？
• 身份验证过滤器 是我们应该使用的吗？

我可以在幕后将所有内容都拼凑在一起，但感觉好像有一个明显的答案我却没有想到。

是否有一种内置的方式来建立每个WebAPI和身份验证API之间的“信任”，以实现这样的功能：

这是我们目前正在走的方向：

如果能给我一个大概的方向，我就会非常高兴。我只是不想重复造轮子。
哦，还有，在这里提醒一下，我们正在使用asp.net 4.5、WebAPI 2、Identity 2和IIS。
感谢您提供任何指导。