Como obtemos o usuário atual, dentro de uma ação ApiController segura, sem passar o userName ou userId como um parâmetro?
Presumimos que esteja disponível, pois estamos em uma ação segura. Estar em uma ação segura significa que o usuário já se autenticou e a solicitação tem seu token de portador. Dado que o WebApi autorizou o usuário, pode haver uma maneira embutida de acessar o userId, sem ter que passá-lo como um parâmetro de ação.