Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
| Özellik | Değer |
|---|---|
| Kural Kimliği | CA5404 |
| Başlık | Belirteç doğrulama denetimlerini devre dışı bırakma |
| Kategori | Güvenlik |
| Hataya neden olan veya bozulmayan düzeltme | Hataya neden olmayan |
| .NET 10'da varsayılan olarak etkin | Hayır |
Neden
Microsoft.IdentityModel.Tokens.TokenValidationParameters, RequireExpirationTime, ValidateAudience veya ValidateIssuer özelliklerini ValidateLifetime olarak false ayarlama.
Kural açıklaması
Belirteç doğrulama denetimleri, belirteçleri doğrularken tüm yönlerinin analiz edilmesini ve doğrulanmasını sağlar. Doğrulamayı kapatmak, güvenilmeyen belirteçlerin doğrulama yoluyla bunu yapmasına izin vererek güvenlik açıklarına yol açabilir.
Belirteç doğrulamaya yönelik en iyi yöntemler hakkında daha fazla ayrıntı kitaplığın wiki'sinde bulunabilir.
İhlalleri düzeltme
Microsoft.IdentityModel.Tokens.TokenValidationParameters, RequireExpirationTime, ValidateAudience, ValidateIssuer ve ValidateLifetime özelliklerini true olarak ayarlayın. Varsayılan değer olduğundan falseatamayı true kaldırın.
Uyarıların ne zaman bastırılması gerekiyor?
Çoğu durumda bu doğrulama, tüketen uygulamanın güvenliğini sağlamak için gereklidir. Ancak, özellikle standart olmayan belirteç türlerinde bu doğrulamanın gerekli olmadığı bazı durumlar vardır. Bu doğrulamayı devre dışı bırakmadan önce, güvenlik etkilerini tam olarak düşündüğünüzden emin olun. Dengeler hakkında bilgi için belirteç doğrulama kitaplığının wiki'sine bakın.
Uyarıyı gizleme
Yalnızca tek bir ihlali engellemek istiyorsanız, kuralı devre dışı bırakmak ve sonra yeniden etkinleştirmek için kaynak dosyanıza ön işlemci yönergeleri ekleyin.
#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404
Bir dosya, klasör veya projenin kuralını devre dışı bırakmak için, yapılandırma dosyasındaki önem derecesini noneolarak ayarlayın.
[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none
Daha fazla bilgi için bkz . Kod analizi uyarılarını gizleme.
Sahte kod örnekleri
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = false;
parameters.ValidateAudience = false;
parameters.ValidateIssuer = false;
parameters.ValidateLifetime = false;
}
}
Çözüm
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = true;
parameters.ValidateAudience = true;
parameters.ValidateIssuer = true;
parameters.ValidateLifetime = true;
}
}
GitHub'da bizimle işbirliği yapın
Bu içeriğin kaynağı GitHub'da bulunabilir; burada ayrıca sorunları ve çekme isteklerini oluşturup gözden geçirebilirsiniz. Daha fazla bilgi için katkıda bulunan kılavuzumuzu inceleyin.
