Partage via


CA5404 : ne désactivez pas les vérifications de validation de jeton

Propriété Value
Identificateur de la règle CA5404
Titre Ne pas désactiver les vérifications de validation des jetons
Catégorie Sécurité
Le correctif est cassant ou non cassant Sans rupture
Activé par défaut dans .NET 8 Non

Cause

Définir les propriétés TokenValidationParametersRequireExpirationTime, ValidateAudience, ValidateIssuer ou ValidateLifetime sur false.

Description de la règle

Les vérifications de validation des jetons garantissent que lors de la validation des jetons, tous les aspects sont analysés et vérifiés. La désactivation de la validation peut entraîner des failles de sécurité en autorisant des jetons non approuvés à passer l’étape de validation.

Vous trouverez plus d’informations sur les meilleures pratiques pour la validation des jetons sur le wiki de la bibliothèque.

Comment corriger les violations

Définissez les propriétés TokenValidationParametersRequireExpirationTime, ValidateAudience, ValidateIssuer ou ValidateLifetime sur true. Vous pouvez également supprimer l’affectation à false, car la valeur par défaut est true.

Quand supprimer les avertissements

Dans la grande majorité des cas, cette validation est essentielle pour garantir la sécurité de l’application consommatrice. Toutefois, dans certains cas, cette validation n’est pas nécessaire, en particulier dans les types de jetons non standard. Avant de désactiver cette validation, veillez à bien réfléchir aux implications en matière de sécurité. Pour plus d’informations sur les compromis, consultez le wiki de la bibliothèque de validation de jetons.

Supprimer un avertissement

Si vous voulez supprimer une seule violation, ajoutez des directives de préprocesseur à votre fichier source pour désactiver et réactiver la règle.

#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404

Pour désactiver la règle sur un fichier, un dossier ou un projet, définissez sa gravité sur none dans le fichier de configuration.

[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none

Pour plus d’informations, consultez Comment supprimer les avertissements de l’analyse de code.

Exemples de pseudo-code

using System;
using Microsoft.IdentityModel.Tokens;

class TestClass
{
    public void TestMethod()
    {
        TokenValidationParameters parameters = new TokenValidationParameters();
        parameters.RequireExpirationTime = false;
        parameters.ValidateAudience = false;
        parameters.ValidateIssuer = false;
        parameters.ValidateLifetime = false;
    }
}

Solution

using System;
using Microsoft.IdentityModel.Tokens;

class TestClass
{
    public void TestMethod()
    {
        TokenValidationParameters parameters = new TokenValidationParameters();
        parameters.RequireExpirationTime = true;
        parameters.ValidateAudience = true;
        parameters.ValidateIssuer = true;
        parameters.ValidateLifetime = true;
    }
}