В общем написал Auth сервис (token based) и некий ресурс (REST сервис). Оба работают на OWIN. Все работало отлично, пока я их не разделил на 2 проекта. Прочитал пути решения:
1) выставить в Web.config одинаковые machineKey (не помогло, но т.к. это обязательный пункт - оставил);
2) пытался менять местами элементы пайплайна OWIN - не помогло
3) убедился, что в обоих проектах OWIN одной версии - не помогло
4) ? что-то еще может подскажете?
Напомню, все работает, если посылать запросы на контроллеры внутри авторизационного сервиса при наличии у них атрибута [Authorize]. То же самое с рест сервисом не проканывает.
