Насколько я понимаю, разрешения приложений будут отслеживаться в базе данных вашего приложения.В этой базе данных вы могли бы отслеживать разрешения по ролям (а не по пользователю).Затем вы можете использовать утверждения о ролях, которые возвращаются в токене, для поиска соответствующих разрешений.Тем не менее, это всего лишь один из методов ...
Это действительно отличный пост на эту тему, написанный Домиником Байером, одним из авторов Identity Server: Identity vs. Permissions