CA5404: Jangan nonaktifkan pemeriksaan validasi token
| Properti | Nilai |
|---|---|
| ID Aturan | CA5404 |
| Judul | Jangan nonaktifkan pemeriksaan validasi token |
| Golongan | Keamanan |
| Perbaikan bersifat disruptif atau non-disruptif | Non-disruptif |
| Diaktifkan secara default di .NET 9 | No |
Penyebab
Mengatur TokenValidationParameters properti RequireExpirationTime, ValidateAudience, ValidateIssuer, atau ValidateLifetime ke false.
Deskripsi aturan
Pemeriksaan validasi token memastikan bahwa saat memvalidasi token, semua aspek dianalisis dan diverifikasi. Mematikan validasi dapat menyebabkan lubang keamanan dengan memungkinkan token yang tidak tepercaya membuatnya melalui validasi.
Detail selengkapnya tentang praktik terbaik untuk validasi token dapat ditemukan di wiki pustaka.
Cara memperbaiki pelanggaran
Atur TokenValidationParameters properti RequireExpirationTime, ValidateAudience, ValidateIssuer, atau ValidateLifetime ke true. Atau, hapus penugasan ke false karena nilai defaultnya adalah true.
Kapan harus menekan peringatan
Dalam sebagian besar kasus, validasi ini sangat penting untuk memastikan keamanan aplikasi yang mengkonsumsi. Namun, ada beberapa kasus di mana validasi ini tidak diperlukan, terutama dalam jenis token non-standar. Sebelum Anda menonaktifkan validasi ini, pastikan Anda telah sepenuhnya memikirkan implikasi keamanan. Untuk informasi tentang trade-off, lihat wiki pustaka validasi token.
Menyembunyikan peringatan
Jika Anda hanya ingin menyembunyikan satu pelanggaran, tambahkan arahan praprosedur ke file sumber Anda untuk dinonaktifkan lalu aktifkan kembali aturannya.
#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404
Untuk menonaktifkan aturan untuk file, folder, atau proyek, atur tingkat keparahannya ke none dalam file konfigurasi.
[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none
Untuk informasi selengkapnya, lihat Cara menyembunyikan peringatan analisis kode.
Contoh kode semu
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = false;
parameters.ValidateAudience = false;
parameters.ValidateIssuer = false;
parameters.ValidateLifetime = false;
}
}
Solusi
using System;
using Microsoft.IdentityModel.Tokens;
class TestClass
{
public void TestMethod()
{
TokenValidationParameters parameters = new TokenValidationParameters();
parameters.RequireExpirationTime = true;
parameters.ValidateAudience = true;
parameters.ValidateIssuer = true;
parameters.ValidateLifetime = true;
}
}
