Validate-JWT 策略中的 Azure API 管理角色与范围

Azure API 管理中的 validate-jwt 策略是否应该评估应用程序令牌（如 Web 服务或守护程序）的 roles claim 和用户令牌的 scopes claim 以确定 JWT 是否获得授权？

根据 JWT.ms 提供的文档，scopes 声明（“scp”）仅由用户令牌通过应用程序代码授权提供：

...并且角色声明（“角色”）仅由应用程序令牌通过客户凭证授予提供：

由于 API 管理通常可以被用户和应用程序访问，这是否意味着 validate-jwt 策略应该包括一个 策略来首先确定传入令牌是用户令牌还是应用程序令牌，然后验证是否存在相应的范围或角色？我认为几乎每个 API 管理的实现都会包含一个策略，该策略必须确定令牌是否包含角色或范围，但我还没有找到任何 Microsoft 文档来说明应该如何完成。