Chapter 3 Protecting the Data(4):创建和使用应用程序角色

186 篇文章 6 订阅
65 篇文章 0 订阅
原文出处:http://blog.csdn.net/dba_huangzj/article/details/39927713,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/39639365

 

前言:

 

数据库角色用于管理数据库内部的访问和权限。数据库角色成员是能通过客户端软件如SSMS连接SQL Server的数据库用户,但是你可能希望授予某个特殊用户一些特权,但是仅限制于某个应用程序而不是SSMS时,第一个解决方案是使用专用SQL 帐号作为应用程序的登录。但是这个方案的缺点是需要使用SQL Server身份验证,并且不能标识出哪个用户正在连接SQL Server。但是可以使用同一个应用程序登录名,并且使用Windows身份验证,因此能更好地标识应用程序的用户,从而在必要的时候提升权限。

 

实现:

 

1. 打开SSMS,在特定数据库的【安全性】→【角色】下,右键【应用程序角色】,选择【新建应用程序角色】:

 

image

 

2. 输入角色名、密码和可选的默认架构,如果为空即为dbo:

 

image

 

3. 在【安全对象】页,可以和数据库角色一样管理应用程序角色的权限:

 

image

 

4.也可以使用T-SQL实现这个操作:

CREATE APPLICATION ROLE MarketingReports WITH PASSWORD = N'A complex password please';


 

5. 当在程序中使用应用程序角色时,使用sp_setapprole系统存储过程修改会话的上下文:

EXEC sp_setapprole @rolename = 'MarketingReports',     @password = N'A complex password please';


执行了这个存储过程之后,当前会话将运行在应用程序角色的上下文下,并且可以通过授权替代原有数据库用户的权限。

 

原理:

 

应用程序角色尽可以在代码中使用,并且仅能使用sp_setapprole存储过程,由于密码传输是明文,所以需要使用如SSL来加密传输链接。在切换上下文之后,应用程序角色的上下文会持续到断开服务器连接,如果需要恢复但不断开连接,可以使用sp_unsetapprole:

DECLARE @cookie varbinary(8000); 
EXEC sp_setapprole @rolename = 'MarketingReports', 
     @password = N'A complex password please', 
     @fCreateCookie = true, @cookie = @cookie OUTPUT; 
-- do something, then revert : 
EXEC sp_unsetapprole @cookie;


 

更多:

 

下面的C#片段,可以在连接后马上使用应用程序角色:

using (SqlConnection cn = new SqlConnection(connectionString)) 
{ 
    SqlCommand cmd = new SqlCommand(); 
    cmd.Connection = cn; 
    cmd.CommandType = CommandType.Text; 
    cmd.CommandText = 
               "EXEC sp_setapprole @rolename = 'MarketingReports',  
@password = N'A complex password please'"; 
    cn.Open(); 
    int res = cmd.ExecuteNonQuery(); 
}

下一篇:

  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值