Сергей Соловьев

Почему не сделать отдельный IRequest, у которого единственное поле - этот массив байтов модели?
Либо при получении этого массива делай его парсинг и создавай отдельный, готовый класс модели IRequest

Даты в БД хранишь в формате UTC. Можно даже без таймзон. Главное, чтобы все представляли единый формат/точку отчета.

На клиенты отправляешь эту дату. JS может создавать Date используя ISO формат - клиент эту дату парсит и используя свою временную зону парсит.

В общем, смысл следующий:
- В БД даты хранятся относительно UTC
- На и с клиента даты отправляются в UTC формате - представление даты с учетом таймзоны будет на стороне пользователя/UI, а коде бизнес-логики работа ведется с UTC

Клиент лучше знает, какая у него таймзона и локаль

Тут подходит какая-нибудь аналитическая СУБД. Например, ClickHouse практически для этого и создавался (Click Stream + Ware House).
Хранить можно следующим образом:
1. Есть общая таблица по посещениям/визитами с примерно такой структурой [page_id, visit_date] (больше и не надо)
2. Для хранения статистики создаешь материализованные представления для дня/недели/года

У них есть тестовые данные для плейграунда сбора аналитики по посещениям/хитам - https://clickhouse-docs.vercel.app/docs/en/getting...

Влияет скорее не геолокация, а локаль пользователя. В данном случае это влияет на разделитель.
Вот пример:

var number = 1.123;

var russian = new CultureInfo("ru-RU"); // Россия
var american = new CultureInfo("en-US"); // США
Console.WriteLine($"Россия: {number.ToString(russian)}");
// Вывод: 1,123
Console.WriteLine($"Америка: {number.ToString(american)}");
// Вывод: 1.123

UPD: TryParse и Parse методы принимают в себя IFormatProvider, который имеет информацию о локали (CultureInfo)

if (double.TryParse("123.123", russian, out var result))
{
    Console.WriteLine($"Русский: {result}");
}
else if (double.TryParse("123.123", american, out result))
{
    Console.WriteLine($"Американский: {result}");
}
else
{
    Console.WriteLine($"Ни один не сработал");
}
// Выведет: Американский: 123,123

Лучше будет выставлять больший таймаут перед запросом. Т.е. если сейчас запрос делается спустя 0,5 сек после ввода, то сделай спустя 1 сек.

Либо, чтобы запрос выполнялся, когда ввода не было X секунд

Скорее всего проблема в самом WhatsApp. Он сам выходит из сессии, если активностей не было.
Но как я понял, логаут происходит после 30 минут, а не 1 часа без активности
https://www.roadlesstraveledstore.com/can-i-automa...

"Какой вид response лучше всего отправлять?"

Какой удобнее. Перед тем как код писать надо хотя бы подумать, в каком виде ответ ожидается/легче использовать.
OpenAPI для согласования API тебе в помощь

С другой стороны, если я отправляю DTO на фронт, то фронтер должен сопоставить свой класс с моим, наверное, это тоже проблематично при большом количестве полей

Есть готовые фреймворки для такого. Например, GraphQL - можно указать что конкретно тебе нужно.
Есть и другие, как OData. Либо можешь свой написать, чтобы клиент сам указывал поля, какие нужны.

Стоит ли вообще приводить response к массиву?

Нигде не видел подобного поведения. Если бы был пример ответа в таком формате, то мог бы сказать.
Если имеется ввиду вместо объекта - массив значений его полей, то это плохая затея.

Зачем везде возвращать IBaseResponse? В нем описание и статус код - они повторяют HTTP метод работы. Разницы между ними никакой. Это явное протекание абстракций.
Лучше сделать так:
1. В контроллере вызываешь GetProductById.
2. Если вернул null, то создаешь ответ 404 There is not product with this id
3. Если возникла ошибка - возвращаешь 500
4. В противном случае возвращаешь ответ

Не смешивай логику и представление

Ты используешь [Authorize] атрибут из фреймворка для авторизации, но при этом не следуешь правилам, чтобы фреймворк понял, что клиент авторизован. Как минимум - откуда он узнает, что токен для авторизации находится именно в куках с именем token?

В HttpContext есть метод SignInAsync. Этот токен нужно передавать туда, а не в куки. Дополнительно, нужно правильно настроить процесс авторизации.

Держи туториал по JWT авторизации

if (token is not null)
     {
         _httpClient.DefaultRequestHeaders.Add("Accept", "application/json");
         _httpClient.DefaultRequestHeaders.Add("Authorization", "Bearer " + token);
     }

- Этот код не имеет смысла, так как заголовок выставляется для созданного _httpClient, а не в запросе (дополнительно, Middleware - синглтон, а _httpClient у тебя один, он не может делать параллельные запросы)