凭据类型
凭据管理 API 适用于两种类型的凭据:
域凭据
域凭据由作系统使用,并由本地安全机构(LSA)进行身份验证。 通常,注册的安全包(如 Kerberos 协议)对用户提供的登录数据进行身份验证时,将为用户建立域凭据。 登录凭据由作系统缓存,以便单一登录允许用户访问许多不同的资源。 例如,网络连接可以透明发生,并且可以根据用户的缓存域凭据授予对受保护系统对象的访问。
凭据管理功能为应用程序提供一种机制,用于在用户登录后提示用户输入域凭据,并使作系统对用户提供的信息进行身份验证。
域凭据(密码)的机密部分受作系统保护。 只有使用 LSA 进程内运行的代码才能读取和写入域凭据。 应用程序仅限于写入域凭据。
Windows 支持扩展智能卡和证书凭据的使用。 为了帮助确保安全性,凭据管理 API 永远不会在计算机上存储智能卡 PIN。
通用凭据
通用凭据由直接管理授权和安全性的应用程序定义和身份验证,而不是将这些任务委派给作系统。 例如,应用程序可以要求用户输入应用程序提供的用户名和密码,或者生成 证书 来访问网站。
应用程序使用凭据管理功能提示用户输入应用程序定义、通用、凭据信息,例如用户名、证书、智能卡或密码。 用户输入的信息将返回到应用程序进行身份验证。
凭据管理为通用凭据提供可自定义的缓存管理和长期存储。 用户进程可以读取和写入通用凭据。