Да для начала просто сделать кастомные policy, которые будут проверять иерархию ролей
https://docs.microsoft.com/en-us/aspnet/core/security/authorization/policies?view=aspnetcore-3.1#authorization-handlers

@LostCoast , а в какой момент ClaimsPrincipal восстанавливает asp.net core?
этот момент можно переопределить?

Чтобы роли(допустим я пока их использовать буду), восстанавливать по Id пользователя(Id пользователя будет хранится в токене).

Просто на данный момент времени все роли хранятся у меня в токене, и это мне не очень нравится, так как пользователю приходится перевыпускать токен, когда обновляется список его ролей.

Я бы хотел хранить некий потокобезопасный кеш, который для пользователя, при выпуске токена, будет из БД вытаскивать его роли и ложить в него.
И при восстановке ClaimsPrincipal брать роли из кеша

там скорее всего вешается свой Authrization фильтр

Вот можно ли переопределить поведение восстановления?

Что значит "восстанавливает"?

Запили свою мидлвару например вместо дефолтной от Identity

и писать роли из кеша в уже существующий IPrincipal?

Типа того

Я бы просто в токен записал нужные мне клеймы без вот этой шляпы

я просто где-то видел, что можно прям в их восстановления IPrincipal залезть.
точно помню видел.