Partilhar via


CA5404: Não desative as verificações de validação de token

Property valor
ID da regra CA5404
Título Não desative as verificações de validação de token
Categoria Segurança
A correção está quebrando ou não quebrando Sem quebra
Habilitado por padrão no .NET 9 Não

Motivo

Definindo TokenValidationParameters propriedades RequireExpirationTime, ValidateAudience, ValidateIssuer, ou ValidateLifetime para false.

Descrição da regra

As verificações de validação de tokens garantem que, ao validar tokens, todos os aspetos sejam analisados e verificados. Desativar a validação pode levar a falhas de segurança, permitindo que tokens não confiáveis passem pela validação.

Mais detalhes sobre as melhores práticas para validação de token podem ser encontrados no wiki da biblioteca.

Como corrigir violações

Defina TokenValidationParameters as propriedades RequireExpirationTime, ValidateAudience, ValidateIssuerou ValidateLifetime como true. Ou remova a atribuição para false porque o valor padrão é true.

Quando suprimir avisos

Na grande maioria dos casos, essa validação é essencial para garantir a segurança do aplicativo consumidor. No entanto, há alguns casos em que essa validação não é necessária, especialmente em tipos de token não padrão. Antes de desativar essa validação, certifique-se de ter pensado completamente nas implicações de segurança. Para obter informações sobre as compensações, consulte o wiki da biblioteca de validação de token.

Suprimir um aviso

Se você quiser apenas suprimir uma única violação, adicione diretivas de pré-processador ao seu arquivo de origem para desativar e, em seguida, reativar a regra.

#pragma warning disable CA5404
// The code that's violating the rule is on this line.
#pragma warning restore CA5404

Para desabilitar a regra de um arquivo, pasta ou projeto, defina sua gravidade como none no arquivo de configuração.

[*.{cs,vb}]
dotnet_diagnostic.CA5404.severity = none

Para obter mais informações, consulte Como suprimir avisos de análise de código.

Exemplos de pseudocódigo

using System;
using Microsoft.IdentityModel.Tokens;

class TestClass
{
    public void TestMethod()
    {
        TokenValidationParameters parameters = new TokenValidationParameters();
        parameters.RequireExpirationTime = false;
        parameters.ValidateAudience = false;
        parameters.ValidateIssuer = false;
        parameters.ValidateLifetime = false;
    }
}

Solução

using System;
using Microsoft.IdentityModel.Tokens;

class TestClass
{
    public void TestMethod()
    {
        TokenValidationParameters parameters = new TokenValidationParameters();
        parameters.RequireExpirationTime = true;
        parameters.ValidateAudience = true;
        parameters.ValidateIssuer = true;
        parameters.ValidateLifetime = true;
    }
}