c# - C# 中的 Windows 凭据提供程序

Question

我正在做一个学校项目，我应该修改在 Windows 登录用户界面中提供凭据的方式。经过一些搜索，我找到了著名的 Vista RTM (Longhorn) 示例和技术文档。我发现所有示例都是用 C++ 开发的。

因为我没有任何 C/C++ 经验，而且我认为自己是一个不错的 C# 程序员，所以我想知道是否可以使用 C#。

我还需要与 REST API 交换数据以验证登录，因此 C# 会更友好。

我找到了这个 https://stackoverflow.com/a/23496878/3626447 ，但@mageos 提供的信息太“原始”了。

有人知道一些有用的资源吗？

Answer 1

您提供的链接完全正确。您将需要在 NET 中实现一个 COM 对象，该对象实现以下两个 COM 接口(interface)(至少):ICredentialProvider、ICredentialProviderCredential

首先，您必须在 .NET 中公开它们，以便您可以引用它们。根据我的经验，更简单的方法是通过 Windows SDK 中的 IDL。您需要的 idl 文件将是 \Program Files (x86)\Windows Kits\10\Include\10.0.15063.0\um\credentialprovider.idl。

问题 #1:您需要将其中的所有定义包装到 library CredentialProviders { ... } 语句中，否则只有一些 的类型将被导出)

打开你的 VS 原生工具并使用 midl 编译它:midl "C:\Program Files (x86)\Windows Kits\10\Include\10.0.15063.0\um\credentialprovider.idl"

这将创建一个类型库(tlb 文件)，.NET 可以使用它来将类型转换为 C# 类型。您现在可以使用 tlbimp 实用程序创建一个互操作 dll，然后您可以在 .NET 中使用它:tlbimp.exe credentialprovider.tlb/out:CredentialProvider.Interop.dll

问题 #2: 不幸的是，使用 tlbimp 的编译去除了方法调用 (HRESULT) 的返回类型，并期望您使用.NET 异常子系统。这在这种情况下不起作用，因为 winlogon(或 credUI 主机应用程序)重新抛出异常并终止进程。解决方案是使用名为 tlbimp2 的实用程序。在撰写本文时，它由 SVN 托管在 codeplex - 只有代码可用。我必须下载代码并在 VS2017 中重新编译该工具(我已将工件上传到随附的存储库中)。所以我们需要运行它来为 winlogon 编译:tlbImp2.exe credentialprovider.tlb/out:CredentialProvider.Interop.dll/unsafe/verbose/preservesig<​​

现在我们可以启动一个我们可以实现 COM 对象的库。在 .NET 框架中启动一个 dll 项目。编辑项目并确保选中标志“Register for COM interop”。引用已编译的 Interop 库。

如前所述，我们需要实现两个接口(interface):ICredentialProvider、ICredentialProviderCredential。代码应如下所示:

[ComVisible(true)]
[Guid("<random-guid>")]
[InterfaceType(ComInterfaceType.InterfaceIsIUnknown)]
public interface ITestWindowsCredentialProvider: ICredentialProvider
{
}

您可以对 ICredentialProviderCredential 接口(interface)执行完全相同的操作。

关于实现:

[ComVisible(true)]
[Guid("<another-unique-id>")]  // <-- This is what we are going to use for registration
[ClassInterface(ClassInterfaceType.None)]
public class TestWindowsCredentialProvider : ITestWindowsCredentialProvider
{
    private const int E_NOTIMPL = unchecked((int) 0x80004001);

    ...

    public int SetSerialization(ref _CREDENTIAL_PROVIDER_CREDENTIAL_SERIALIZATION pcpcs)
    {
        return E_NOTIMPL;
    }

    ...
}

从所有方法 E_NOTIMPL 返回并在所有 out 参数中提供值。现在我们有了一个可以开始的基础对象。您可以延迟 ICredentialProviderCredential 的实现，直到您实现 ICredentialProvider::GetCredentialAt 方法。

您可以通过在注册表设置下添加一个 key 来注册此凭据提供程序.

当您这样做时，登录服务和 credUI 调用将加载并查询您的组件。但是请注意:任何异常都会导致 winlogon 崩溃，导致您无法登录。使用虚拟机作为最佳实践。

现在，完成所有这些步骤后，我们仍然需要实现凭证提供程序。这在名为 Credential Provider driven Windows Logon Experience 的文档中得到了最好的描述。 .您最终需要使用您可能需要在后台执行的任何操作来编排 UI，并将其映射到用户。

当在方法实现 ICredentialProviderCredential::GetSerialization 上正确序列化用户信息时，您将能够登录用户。

例子

我已经做了一个例子，你可以在这里找到它:https://github.com/phaetto/windows-credentials-provider