IdentityServer4 с ASP.NET MVC Core и.NET Core Identity Serverside

У меня есть требование НЕ допускать попадания слоя Web(MVC Core 2) в БД, и мне раньше не приходилось разделять идентификационные данные.net на слои, и я думал о том, чтобы сделать это так, но не вижу ничего, опубликованного с последней версией. основные технологии. Я планировал, чтобы IdentityServer4 с.NET Core Identity был средним / прикладным уровнем. Средний / сервер приложений будет находиться за брандмауэром. Интернет будет выполнять только серверные вызовы на сервер идентификации (без Ajax). Я использовал этот учебник http://docs.identityserver.io/en/release/quickstarts/6_aspnet_identity.html. Получив работающий пример, веб-сайт MVC хочет перенаправить на сервер идентификации, ожидая, что сервер идентификации будет открыт для использования файлов cookie. Мои вопросы:

1) Как я могу сохранить на этой стороне сервера только перенаправления или есть лучший способ сделать это?
2) Как я могу повторно использовать 2фактор и управление паролями со среднего уровня? Должен ли я писать оболочки для каждого вызова сервера, как

var response = client;
PostAsync("http://localhost:xxxxx/account/LoginWith2fa", content).Result;

Отсюда: https://forums.asp.net/t/1988569.aspx?Call+post+Api+from+controller+in+MVC+at+server+side
3) Для уровня данных, это должен быть отдельный проект от сервера аутентификации, или это плохая практика - объединять слой аутентификации и данных?