認證種類

認證管理 API 適用于兩種認證：

• 網域認證
• 一般認證

網域認證

作業系統會使用網域認證，並由本機安全性授權單位 (LSA) 進行驗證。 一般而言，註冊的安全性套件，例如 Kerberos 通訊協定，會為使用者建立網域認證，以驗證使用者所提供的登入資料。 登入認證是由作業系統快取，因此單一登入可讓使用者存取許多不同的資源。 例如，網路連線可能會以透明方式發生，而且可以根據使用者的快取網域認證來授與受保護系統物件的存取權。

認證管理功能提供一種機制，讓應用程式在使用者登入之後提示使用者輸入網域認證，並讓作業系統驗證使用者提供的資訊。

網域認證的秘密部分密碼會受到作業系統的保護。 只有使用 LSA 執行同進程程式碼，才能讀取和寫入網域認證。 應用程式僅限於撰寫網域認證。

Windows 支援擴充智慧卡和憑證認證的使用。 為了協助確保安全性，認證管理 API 永遠不會將智慧卡 PIN 儲存在電腦上。

一般認證

一般認證是由直接管理授權和安全性的應用程式所定義及驗證，而不是將這些工作委派給作業系統。 例如，應用程式可能需要使用者輸入應用程式所提供的使用者名稱和密碼，或產生 憑證 來存取網站。

應用程式會使用認證管理功能來提示使用者輸入應用程式定義、一般、認證資訊，例如使用者名稱、憑證、智慧卡或密碼。 使用者輸入的資訊會傳回給應用程式以進行驗證。

認證管理可為一般認證提供可自訂的快取管理和長期儲存體。 一般認證可由使用者進程讀取和寫入。