问如何从api作用域向id令牌添加作用域

EN

我在Azure有两个应用程序注册：

1. 一个客户端应用程序(Web)，它可以发出id和访问令牌，并具有从API添加的所有作用域。
2. 一个API注册，它了解web应用程序并向它公开一些作用域。

在API注册的清单中，我定义了一些用户角色。这些角色分配给相应的企业应用程序中的用户。

web应用程序发布的该API的所有访问令牌都包含这些角色，我的API可以以这种方式授权。

但是我的SPA只有不知道这些角色的id令牌。

我解决这个问题的办法是：

1. 我可以让我的SPA解析访问令牌并提取角色。但这并不是MS推荐的，所以我不想这么做--尽管它会起作用。
2. 我还可以将访问令牌发送到一个API端点，该端点可以解析令牌并为我返回角色。这已经更好了，但我仍然不喜欢这种方法。

是否有可能在web应用程序发出的ID标记中包含来自API的角色？如果我将角色放在web应用程序本身的清单中，这些角色就会出现在ID令牌中。

但是我不想在API和web应用程序清单中有多余的角色。

解决我的问题的合适方法是什么？

最好是将所有API角色也包含在web应用程序发出的ID令牌中。但我没办法这么做..。