Сергей Соловьев

Ты используешь [Authorize] атрибут из фреймворка для авторизации, но при этом не следуешь правилам, чтобы фреймворк понял, что клиент авторизован. Как минимум - откуда он узнает, что токен для авторизации находится именно в куках с именем token?

В HttpContext есть метод SignInAsync. Этот токен нужно передавать туда, а не в куки. Дополнительно, нужно правильно настроить процесс авторизации.

Держи туториал по JWT авторизации

if (token is not null)
     {
         _httpClient.DefaultRequestHeaders.Add("Accept", "application/json");
         _httpClient.DefaultRequestHeaders.Add("Authorization", "Bearer " + token);
     }

- Этот код не имеет смысла, так как заголовок выставляется для созданного _httpClient, а не в запросе (дополнительно, Middleware - синглтон, а _httpClient у тебя один, он не может делать параллельные запросы)

resultString.AppendLine($"<button role=\"button\" class=\"sendBtn\"><a href=\"www.siteadress/api/reports/{serializedIngedientsList}\" style=\"text-decoration: none; color: #000000\"> Отчёт </a></button>");

Вот здесь не тупая конкатенация должна быть.
Во первых, URL строки должны экранироваться.
Во вторых, здесь ты передаешь через путь, а надо через запрос (то что после ? идет).
В третьих, если передавать через путь, то там не JSON, а собственная структура для сериализации.

Почитай метанит

1) Может у вас прокси стоит, который заголовки удаляет?

Логи говорят, что невозможно выполнить согласование контента (content negotiation).

2) Попробуйте вручную зарегистировать Json форматтер для запросов первым с списке.

В списке первым стоит `Microsoft.AspNetCore.Mvc.Formatters.HttpNoContentOutputFormatter`. Не работал с ним, но название говорит, что это какой-то Fallback класс, который просто скипает запрос