Идентичность, по своей сути, является структурой управления пользователями.Функции аутентификации / авторизации связаны только косвенно.Когда вы начинаете говорить о необходимости авторизации множества разных приложений, особенно разных типов приложений, таких как мобильное приложение и веб-сайт, вам нужно начать искать поставщика централизованной идентификации.Если вы хотите сыграть свою собственную игру, IdentityServer - почти единственная игра в городе.Для размещенного решения вы можете рассмотреть что-то вроде Auth0 или Azure Active Directory.
Какой бы вариант вы ни выбрали, вам придется использовать различные потоки для разных ситуаций.Мобильное приложение обычно использует поток OAuth для действий, ориентированных на пользователя, тогда как общие запросы, не относящиеся к пользователю, могут использовать учетные данные клиента.Для веб-сайта вы будете использовать проверку подлинности cookie и поток OIDC.Ваш API будет использовать учетные данные клиента или, возможно, гибридный поток аутентификации, если вам нужно поддерживать аутентифицированные запросы на стороне клиента через что-то вроде AJAX.
Короче говоря, здесь нет замены для проведения исследования.Вам нужно будет покопаться, выяснить, что вам нужно поддерживать и как вы собираетесь это поддерживать.Однако независимо от отдельного потока вам понадобится централизованный поставщик удостоверений, чтобы все это осуществить.
При этом промежуточное ПО для аутентификации и авторизации в ASP.NET Core не привязано к какому-либо конкретному поставщику.В зависимости от того, с чем вы в итоге поедете, вы можете или не можете продолжать использовать ASP.NET Identity (IdentityServer может интегрироваться с этим, но что-то вроде Auth0 будет иметь свое собственное управление пользователями).Однако это никак не влияет на вашу способность продолжать использовать такие вещи, как атрибут Authorize.