Это на самом деле довольно просто. При создании токена JWT вы добавляете к нему претензии. Это может быть userId, его роль et c.
Таким образом, при настройке авторизации по схеме Bearer будет проверяться каждый запрос, требующий авторизации. Например, этому методу можно будет достичь только с помощью токена jwt с типом заявки роль из admin :
[Authorize(AuthenticationSchemes = "Bearer")]
public class YourController : ControllerBase
{
...
[HttpGet]
[Authorize(Roles = "admin")]
public async Task<IActionResult> Method(string id)
{
}
...
}
Если токен не требуется претензия, вы получите 403 Forbidden ответ