授权策略始终返回 403(禁止访问)- MVC/API

我创建了一个带有终结点的 API(带有 EF Core 的 .Net Core 2(来检索某些角色。我将ASPNetIdentity集成到我的项目中，并且正在使用AspNetRoles和AspNetRoleClaims。

调用 API 时，在我的情况下，用户具有特定角色(管理员(。此角色有一些角色声明。在启动中.cs我为此角色添加了策略：

options.AddPolicy(
"Create Roles", policy => policy.RequireClaim("Can create roles", "role.create"));
options.AddPolicy(
"View Roles", policy => policy.RequireClaim("Can read roles", "role.read"));
options.AddPolicy(
"Edit Roles", policy => policy.RequireClaim("Can update roles", "role.update"));
options.AddPolicy(
"Delete Roles", policy => policy.RequireClaim("Can delete roles", "role.delete"));

在我的前端中，用户可以使用他们的Microsoft(azure(帐户登录，并且他们的oidc声明(ID(与AspNetUser表中的ID匹配，如果在用户表中找不到他们的oidc，则会自动添加它们(使用他们的oidc ID作为aspnetuser ID(并获得默认角色。

但是，调用角色终结点时，它始终返回 403 错误(禁止访问(。当我检查表时，用户具有访问终结点的正确角色和角色声明。怎么可能一直返回403？

端点如下所示：

[HttpGet]
[Authorize(Policy = "View Roles")]
public IEnumerable<IdentityRole> GetRole()
{
return _context.Roles;
}

经过一些研究，我发现了一篇文章，它告诉您需要在发送到 API 的令牌中包含用户的角色(声明(，尽管这意味着我将需要一个首先返回用户角色的 GET 端点，前端需要拾取它并将其添加到令牌中， 然后使用令牌中包含的角色调用所有其他终结点？还是我在这里走错了路？

----更新----

我 90% 确定策略/授权检查需要将角色声明包含在用户的令牌中。但是，该过程现在如下：

1. 用户转到前端项目(反应前端(。
2. 前端使用 adal.js 检查用户是否经过身份验证，如果他没有经过身份验证，则用户将被重定向到Microsoft登录页面。
3. 成功登录后，将调用 API。
4. 在 API 的 DI(AddJwtBearer(中，将 oid 声明与 ASpNetUsers 表的 ID 进行比较，如果不存在，则使用 AspNetUser ID 的 oid 值将用户添加到 AspNetUser 表中。

现在，用户也已添加到 AspNetUser 表中，我可以使用 Asp.Net 标识来执行使用角色和角色声明的授权。

但是，问题是 API 最初收到的令牌是 Azure 令牌，它对我的标识表一无所知(如果我错了，请纠正我(。我相信这也是我的政策不起作用的原因(如果我错了，请再次纠正我(。

我发现了一个问题或多或少相同的帖子(https://joonasw.net/view/adding-custom-claims-aspnet-core-2(，诀窍是使用我所需的 Identity 声明(例如ClaimTypes.Role(扩展当前令牌。

实现此目的的代码如下：

// Add authentication (Azure AD)
services
.AddAuthentication(sharedOptions =>
{
sharedOptions.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
sharedOptions.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; 
sharedOptions.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; // Use JWT as ChallendgeSchema, if not, ASPNet Identity will be used by default and this will return a default non-existing endpoint (because it is not created): Account/Login; https://stackoverflow.com/questions/45878166/asp-net-core-2-0-disable-automatic-challenge
})
.AddJwtBearer(options =>
{
options.Audience = this.Configuration["AzureAd:ClientId"];
options.Authority = $"{this.Configuration["AzureAd:Instance"]}{this.Configuration["AzureAd:TenantId"]}";
// Added events which checks if the user (token user) exists in our own database, if not then the user is being added with a 'User' role
options.Events = new JwtBearerEvents()
{
OnTokenValidated = context =>
{
// Check if roles are present
CheckRoles cr = new CheckRoles();
cr.CreateRoles(services.BuildServiceProvider());
// Check if the user has an OID claim(oid = object id = user id)
if (!context.Principal.HasClaim(c => c.Type == "http://schemas.microsoft.com/identity/claims/objectidentifier")) 
{
context.Fail($"The claim 'oid' is not present in the token.");
}
ClaimsPrincipal userPrincipal = context.Principal;
CheckUser cu = new CheckUser();
cu.CreateUser(userPrincipal, services.BuildServiceProvider());
// Extend the current token with my (test) Role claim
var claims = new List<Claim>
{
new Claim(ClaimTypes.Role, "Admin")
};
var appIdentity = new ClaimsIdentity(claims);
context.Principal.AddIdentity(appIdentity);

return Task.CompletedTask;
}
};
});

遗憾的是，上述方法不起作用，当从前端调用 API 时，令牌保持不变，并且没有添加 RoleClaim。任何人都知道如何将我的 RoleClaim 添加到令牌，以便我可以使用我的策略？