过多重定向到 MicrosoftIdentity/Account/AccessDenied

我有一个使用 AAD 登录的 blazor 服务器应用程序。我想仅限制特定用户的访问权限（基于用户角色）。

程序.cs

builder.Services
    .AddAuthentication(OpenIdConnectDefaults.AuthenticationScheme)
    .AddMicrosoftIdentityWebApp(builder.Configuration.GetSection(AppConsts.Config.AzureAdSectionKey))

builder.Services.AddAuthorization(options =>
{
    options.FallbackPolicy = options.DefaultPolicy;
});

builder.Services
    .AddControllersWithViews()
    .AddMicrosoftIdentityUI();

builder.Services.AddRazorPages();

app.UseAuthentication();
app.UseAuthorization();

//app.MapRazorPages(); when commented I get endless redirection to MicrosoftIdentity/Account/AccessDenied?ReturnUrl=%2FMicrosoftIdentity%2FAccount%2FAccessDenied%3FReturnUrl%
app.MapControllers();

app.MapRazorComponents<App>()
    .AddInteractiveServerRenderMode()
    .RequireAuthorization();

我使用 ClaimsTransformation 限制对我的应用程序的访问，以便它无法在 AuthorizationPolicy 中被覆盖

public class ClaimsTransformation : IClaimsTransformation
{

    public async Task<ClaimsPrincipal> TransformAsync(ClaimsPrincipal principal)
    {
        if (!IsUserAllowed(principal))
        {
            var emptyClaimIdentity = new ClaimsIdentity();
            emptyClaimIdentity.AddClaim(new Claim(ClaimTypes.Name, principal.Identity?.Name ?? "anonym"));
            return new ClaimsPrincipal(emptyClaimIdentity);
        }
        return principal;    
    }
}

现在我不断地重定向到 MicrosoftIdentity/Account/AccessDenied。 但是，当我添加 Razor 页面时，我得到了正确的“访问被拒绝”页面响应。

1. 为什么 AccessDenied 页面会被重定向？
2. MicrosoftIdentityUI 包是否依赖于 razor 页面？我以为他们改用控制器了