Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
| Properti | Nilai |
|---|---|
| ID Aturan | CA5404 |
| Judul | Jangan nonaktifkan pemeriksaan validasi token |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 10 | No |
Penyebab
Microsoft.IdentityModel.Tokens.TokenValidationParameters Mengatur properti RequireExpirationTime, ValidateAudience, ValidateIssuer, atau ValidateLifetime ke false.
Deskripsi aturan
Pemeriksaan validasi token memastikan bahwa saat memvalidasi token, semua aspek dianalisis dan diverifikasi. Mematikan validasi dapat menyebabkan lubang keamanan dengan memungkinkan token yang tidak tepercaya membuatnya melalui validasi.
Detail selengkapnya tentang praktik terbaik untuk validasi token dapat ditemukan di wiki pustaka.
Cara memperbaiki pelanggaran
Atur Microsoft.IdentityModel.Tokens.TokenValidationParameters properti RequireExpirationTime, ValidateAudience, ValidateIssuer, dan ValidateLifetime ke true. Atau, hapus penugasan ke false karena nilai defaultnya adalah true.
Kapan harus menekan peringatan
Dalam sebagian besar kasus, validasi ini sangat penting untuk memastikan keamanan aplikasi yang mengkonsumsi. Namun, ada beberapa kasus di mana validasi ini tidak diperlukan, terutama dalam jenis token non-standar. Sebelum Anda menonaktifkan validasi ini, pastikan Anda telah sepenuhnya memikirkan implikasi keamanan. Untuk informasi tentang trade-off, lihat wiki pustaka validasi token.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = false;
parameters.ValidateAudience = false;
parameters.ValidateIssuer = false;
parameters.ValidateLifetime = false;
}
}
Solusi
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = true;
parameters.ValidateAudience = true;
parameters.ValidateIssuer = true;
parameters.ValidateLifetime = true;
}
}
Berkolaborasi dengan kami di GitHub
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
