理解自包含 JWT 访问令牌和自省引用访问令牌，使用 Bearer 认证方式传递令牌，使用 JwtBearer 开源库验证 JWT 令牌的有效性，使用 OAuth2Introspection 开源库验证自省引用令牌，使用 IdentityServer 官方提供的 AccessTokenValidation 扩展自动识别并验证前后两者，基于 Scope 范围的 API 策略授权扩展，使用 HTTP 监听工具分析访问令牌验证机制。