凭据类型
凭据管理 API 适用于两种类型的凭据:
域凭据
域凭据由操作系统使用,并由本地安全机构 (LSA) 进行身份验证。 通常,注册的安全包(如 Kerberos 协议)对用户提供的登录数据进行身份验证时,会为用户建立域凭据。 登录凭据由操作系统缓存,以便单一登录允许用户访问许多不同的资源。 例如,网络连接可以透明地发生,并且可以根据用户的缓存域凭据授予对受保护系统对象的访问权限。
凭据管理功能为应用程序提供了一种机制,用于在用户登录后提示用户输入域凭据,并让操作系统对用户提供的信息进行身份验证。
域凭据的机密部分(密码)受操作系统保护。 只有使用 LSA 在进程内运行的代码才能读取和写入域凭据。 应用程序仅限于写入域凭据。
Windows 支持扩展智能卡和证书凭据的使用。 为了帮助确保安全性,凭据管理 API 从不在计算机上存储智能卡 PIN。
通用凭据
泛型凭据由直接管理授权和安全性的应用程序定义和身份验证,而不是将这些任务委托给操作系统。 例如,应用程序可以要求用户输入应用程序提供的用户名和密码,或者生成 访问网站的证书 。
应用程序使用凭据管理功能提示用户输入应用程序定义的通用凭据信息,例如用户名、证书、智能卡或密码。 用户输入的信息将返回到应用程序进行身份验证。
凭据管理为通用凭据提供可自定义的缓存管理和长期存储。 通用凭据可由用户进程读取和写入。