关于Credential Provider

 

问：

关于Credential Provider ，我检索了一下资料，我看到资料中描述了可以自定义登录界面的UI，我的需求是不需要修改定制任何UI，我只需要在合适的时机实现在锁屏界面的自动登录指定的用户，这个需求Credential Provider 可以实现吗

 

 

 答：

可以实现。Credential Provider (CP) 完全可以满足你“不修改 UI 且在特定时机自动解锁/登录”的需求。

在 CP 的开发逻辑中，UI 只是凭据的展示层，而自动登录（Auto-Logon）是其核心机制之一。

 

实现原理：静默触发与自动序列化

要实现你的需求，关键在于利用 CP 的以下几个机制：

1. 静默运行 (Hidden Fields)：
   你可以在代码中将所有 UI 字段（如用户名、密码框）的状态设置为 CPFS_HIDDEN。这样，在登录界面上，你的 CP 磁贴（Tile）可以被隐藏，或者即便显示也不会要求用户手动输入。
2. 触发机制 (ICredentialProviderEvents)：
   你的 Windows 服务可以通过 进程间通信 (IPC)（如命名管道或 Socket）通知正在锁屏界面运行的 CP。
   • 当 CP 收到服务的信号时，调用 ICredentialProviderEvents::CredentialsChanged 方法。
   • 这会促使 LogonUI 重新枚举凭据并调用你的 CP。
3. 自动登录标志 (pbAutoLogon)：
   在 CP 的核心接口方法中，你需要设置特定的返回参数：
   • 在 GetCredentialCount 中，将 pdwDefault 设置为你的凭据索引，并将 pbAutoLogonWithDefault 设置为 TRUE。
   • 在 ICredentialProviderCredential::SetSelected 方法中，将 *pbAutoLogon 赋值为 TRUE。
4. 凭据填充 (GetSerialization)：
   一旦 pbAutoLogon 被设置为 TRUE，Windows 将不再等待用户点击“登录”按钮，而是直接调用你的 GetSerialization 方法。
   • 在此方法中，你将预先准备好的（或从服务传过来的）DOMAIN\User 和 Password 按照 KERB_INTERACTIVE_LOGON 结构进行打包序列化。
   • Windows 接收到该序列化数据后，会直接尝试解锁/登录。 

 

核心开发步骤建议

• 场景识别： 确保在 Initialize 时判断 CREDENTIAL_PROVIDER_USAGE_SCENARIO。解锁对应 CPUS_UNLOCK_WORKSTATION，新登录对应 CPUS_LOGON。
• 通信通道： 编写一个 C++ DLL 形式的 CP。由于 CP 运行在 LogonUI.exe（Session 1 或更高）中，而服务运行在 Session 0，建议使用命名管道进行跨会话通信。
• 凭据安全： 严禁在代码或配置中明文存储密码。服务应负责管理加密凭据，并在需要登录时将其解密发送给 CP。 

 

总结

你不需要去定制精美的登录界面。你只需要编写一个“隐形”的凭据提供程序，平时处于休眠状态，一旦收到后台服务的“指令”，它就立刻告诉 Windows：“我有现成的凭据，请立即自动登录”，从而跳过用户交互过程。