我一直在试验Windows.Security.Credentials.PasswordVault作为存储我的应用程序的方法。密码。
阅读class documentation和UWP documentation,我认为保险库有一些识别应用程序的方法,因此特定应用程序可能只检索它在保险库本身中保存的凭据:
应用和服务无法访问与其他应用或服务相关联的凭据。
我无法确认这是否有效,因为我写的应用程序实际上能够访问我的另一个应用程序保存在保险库中的凭据,包括密码。由于该机制不需要任何证书或应用程序ID,我很好奇它如何确保上述属性。
看着我发现了this very similar, as yet unanswered question。它让我更加困惑,因为它的提问者说:
看来即使第二个应用程序使用的密钥与用于保存数据的第一个应用程序相同;第二个应用程序无法检索该数据。这很好。
在我的情况下,第二个应用程序可以读取第一个保存的保险库凭证,没有问题,密码和所有。不仅如此,我还可以读取Internet Explorer存储的所有密码,用于保存密码自动填充信息的网站。对this question的评论确认,如果两个应用程序都由同一个用户执行,则没有机制阻止一个应用程序访问另一个应用程序,这与我对API文档的理解完全不一致。 / p>
我必须误解PasswordVault的安全方面是如何工作的。如何使用它来保护凭据,以便它们只能由创建它们的应用程序使用?
有关我的环境的信息: