明明申请了更多的 scope，API 却直接返回 403？本文通过一次真实踩坑经历，深入分析了 ASP.NET Core 中 RequireClaim("scope") 的校验机制，揭示了 多个 scope 实际只会生成一个 Claim 这一隐藏细节，并解释了为什么“权限变多反而被拒绝”。如果你正在使用 OpenIddict / OAuth2 + Policy 做鉴权，这个坑你一定要提前知道。