お答えいただきありがとうございます。 <authentication mode="Forms"> のことが理解できていませんでした。そうだったのですね… 調査用にAPIにチェックを入れて作成したソリューションで、コメントいただいたようにうまくいっていたコントローラがあったのでよく見てみました。 すると、Startup.Auth.csの中のConfigureAuthメソッドで違いがありました。 (うまくいかない場合) // アプリケーションが Cookie を使用して、サインインしたユーザーの情報を格納できるようにします // また、サードパーティのログイン プロバイダーを使用してログインするユーザーに関する情報を、Cookie を使用して一時的に保存できるようにします // サインイン Cookie の設定 app.UseCookieAuthentication(new CookieAuthenticationOptions { という風に生成されていた部分を、 ↓ (うまくいく場合) // アプリケーションがベアラ トークンを使用してユーザーを認証できるようにします app.UseOAuthBearerTokens(OAuthOptions); に置き換えると、401が返るようになりました。

プロジェクトを作るときのテンプレートに何を使ったのですか？

お返事が遅れて申し訳ありません。 同じ環境がなく時間がかかってしまいました。 ■うまくいったプロジェクト WEB APIプロジェクトとして作成(MVCにはチェックが入っており、変更できない) // アプリケーションがベアラ トークンを使用してユーザーを認証できるようにします app.UseOAuthBearerTokens(OAuthOptions); が自動で生成されていました。 ■うまくいかなかったプロジェクト MVCプロジェクトとして作成して、WEB APIにもチェックを入れて作成したソリューション

> ■うまくいったプロジェクト > WEB APIプロジェクトとして作成(MVCにはチェックが入っており、変更できない) それが私の回答で画像を示したものだと思います。 であれば、その場合は Web API の認証はクッキーベースではなくトークンベースになります。WebApiConfig.cs に以下のコードがあると思いますが、それがキモです。 config.SuppressDefaultHostAuthentication(); config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType)); > ■うまくいかなかったプロジェクト > MVCプロジェクトとして作成して、WEB APIにもチェックを入れて作成したソリューション それは自分は試したことがないのですが、MVC も Web API もクッキーベースになっているのではないでしょうか？ 参考にされている記事 Using cookie authentication middleware with Web API and 401 response codes | brockallen は MVC も Web API もクッキーベースのようで、その条件で Ajax で Web API を要求された場合のみ 401 を返すようにしていると思います。 （注：クッキーではなくトークンを使う理由はセキュリティ (CSRF) 対策だそうです。MVC アプリではビューに Html ヘルパーの AntiForgeryToken メソッドを、アクションメソッドに [ValidateAntiForgeryToken] 属性を付与して CSRF 対策ができますが、Web API ではそういう手段が使えませんから） で、質問者さんは認証はどのようにしたいのでしょう？

うまくいっていなかったプロジェクトのWebApiConfig.csには // Web API の設定およびサービス // ベアラ トークン認証のみを使用するように、Web API を設定します。 config.SuppressDefaultHostAuthentication(); config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType)); の記述がありませんでした。 前回のコメントに書いた修正は戻して、WEBAPIのプロジェクトに合わせようとしていますが、 Providerも自動生成されていない、パッケージも足りないなどかなりの違いがありました… 認証については、少なくともWebAPIからはアクセスはトークンでの認証を行いたいです。 いろいろとわからないことが多いのですが、MVCで作成したプロジェクトには app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create); という記述があるのですが、WebAPIで作成したプロジェクトにはありません。 このようなところを理解していくには、どこで調べればいいのでしょうか。

> いろいろとわからないことが多いのですが、MVCで作成したプロジェクトには > app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create); > という記述があるのですが、WebAPIで作成したプロジェクトにはありません。 Web APIテンプレートで作成したプロジェクトではログインする際に ApplicationSignInManager は使わないから無いのだと思います。 ASP.NET Identity に登録済のアカウントの email と password を /Token に送信するとトークンが返ってきます。デフォルトの設定では同時に認証クッキーも発行されるようになっています。以下のスレッドの画像を見てください。 ASP.NET Web APIの認証について https://teratail.com/questions/111286 なお、MVC 側は従来通り ApplicationSignInManager を利用したログインを行い、Web API 側はトークン認証にするということも可能です。 > このようなところを理解していくには、どこで調べればいいのでしょうか。 以下の文書が参考になると思います。 Secure a Web API with Individual Accounts and Local Login in ASP.NET Web API 2.2 https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/individual-accounts-in-web-api

＞なお、MVC 側は従来通り ApplicationSignInManager を利用したログインを行い、Web API 側はトークン認証にするということも可能です。 そうなんですね。Startup.Auth.csでいろいろ設定が生成されているのですが、設定の意味がまだ理解しきれていません…API用の設定を追加するだけでいいのでしょうか？ ＞ASP.NET Identity に登録済のアカウントの email と password を /Token に送信するとトークンが返ってきます。デフォルトの設定では同時に認証クッキーも発行されるようになっています。 /Tokenにアクセス成功した場合、 レスポンスヘッダーにクッキーが、ボディにトークンが入っていることを確認しました。 参考記事で勉強させていただきます。ありがとうございます。