连接字符串中的integrated security=true的意思是什么

每次在讲到这个地方的时候,我都会提问。也经常有朋友回答不上来。

integrated security=true 的意思是集成验证,也就是说使用Windows验证的方式去连接到数据库服务器。这样方式的好处是不需要在连接字符串中编写用户名和密码,从一定程度上说提高了安全性。

那么到底是用哪一个Windows身份呢?很多朋友说,使用当前用户的身份吧?这个回答不能算错,至少在Windows应用程序中是这样的。但如果换成是ASP.NET应用程序,则就不是了。

如果是ASP.NET应用程序(网站或者服务),那么根据其运行宿主环境的不一样,可能会有差异

1. Windows XP :ASPNET帐号

2. Windows 2003或者以后的版本:NetWork Service帐号

知道这个原理之后,那么如果你准备用Integrated security=true,则需要授予这两个帐号对于数据库的访问权限。

但要注意一个问题(也是很多朋友疑惑的),就是在Visual Studio里面调试的时候,貌似又不是使用ASPNET这个帐号的。这是因为Visual Studio总是使用当前开发环境中,用户的Windows身份来发起请求的。

从下面的图可以看到这个差别。在VS里面调试,与在IIS中调试,访问的身份是不一样的

 

User Instance=true 是什么?  

曾经,要运行 SQL Server 数据库,就必须在实例下创建数据库,不管是直接创建、还是附加、还是还原,总之都得在实例下创建,但这造成一个问题,我们的权限不够高,无法将数据库附加或还原到 SQL Server,我们只是有 .mdf、.ldf 文件。

从 SQL Server 2005 开始,有了新选择

在连接字符串中使用 AttachDbFilename,可直接连接到一个数据库文件。比如是这样的:

Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\Data.mdf;Integrated Security=True;User Instance=True

这里 User Instance 就是用户实例,为 True,表示使用用户实例。

那什么是用户实例呢?

先看看实例


SQL Server 实例是一个在服务器上运行的 SQL Server 可执行程序。每个实例都有一个名称,内存中的一个 sqlservr.exe 进程、缓冲区内存、它自己的系统数据库副本,以及它自己的一组用户数据库。例如,默认情况下,SQL Server Express 作为一个名为“SQLEXPRESS”的实例安装。通过在连接字符串中指定带有服务器名称的实例名,可以连接到已命名的实例。这就是在连接到本地 SQL Server Express 数据库时通常将“.\SQLEXPRESS”指定为服务器名的原因。点(.)意味着本地服务器,\SQLEXPRESS 指定了 SQLEXPRESS 命名实例。
 

再看用户实例

用户实例是对实例的扩展。用户实例与普通实例类似,但它是在需要的时候创建,而普通实例是在安装期间创建的。


用户实例必须由父实例创建,所以使用用户实例时,我们也不能省略 Data Source。
谁打开了数据库连接,谁就是这个用户实例的运行帐户,比如 IUSR_Cftea 运行着网站,它打开了带用户实例的数据库连接,那么这个用户实例就是以 IUSR_Cftea 运行的。
 

用户实例限制


仅允许本地连接。
不能复制用户实例。
分布式查询对远程数据库不起作用。
用户实例仅在 SQL Server 的 Express Edition 内运行。
 

更详细

以下来自 MSDN:

当打开一个 User Instance 选项为 True 的连接时会发生什么?下列步骤描述用户第一次打开一个用户实例连接时发生的情况。


SQLClient 逻辑打开一个到 SQL Server Express 父实例(默认情况下是 .\SQLEXPRESS)的连接。
SQL Server Express 检测到已经设置了 User Instance 选项且该用户没有用户实例。
将 master 和 msdb 系统数据库文件复制到用户的目录下。在 Sally 的示例中,该目录为: C:\Documents and Settings\Sally\Local Settings\Application
Data\Microsoft\Microsoft SQL Server Data\SQLEXPRESS
这些文件是从一个在安装父实例时创建的模板目录复制的。用户实例启动后,tempdb、日志和跟踪文件被写入这个相同的用户目录。
父实例模拟正在打开该连接的 Windows 用户,并且启动一个以该用户身份运行的 sqlservr.exe 副本。系统数据库的位置作为参数传递。生成实例的名称。例如: 69651E0A-5550-46。
为新实例创建一个命名管道数据库连接。该名称基于实例名。例如:
\\.\pipe\69651E0A-5550-46\tsql\query.
将 AttachDBFilename 参数中指定的数据库文件附加到新实例,并用该文件的完整路径命名该文件:
[C:\MYDBPROJECTS\TESTVB1\TESTVB1\DATABASE1.MDF]
命名管道的名称传回到正在打开连接的 SqlClient。
SqlClient 接收到该连接的名称后,关闭到父实例的连接。它使用返回的命名管道名打开一个到该用户实例的新连接。
 

一旦为特定用户创建了用户实例,就会保留系统数据库和命名管道。因此,在第一次连接后,后续连接就只需执行后两步操作了。

关闭到该实例的最后一个连接后,启动的 sqlservr.exe 进程还会继续运行一段时间。因此,如果打开其他连接,则不需要重新启动该进程。继续运行的时间长度是由 sp_configure 选项“用户实例超时”设置的。默认情况下,时间长度设为 60 分钟,但是您可以用 sp_configure 命令更改它。

此版本的 SQL Server 不支持用户实例登录标志

运行时可能会遇到错误“此版本的 SQL Server 不支持用户实例登录标志”,前面说了用户实例仅在 SQL Server 的 Express Edition 内运行,如果不是 Express 版本,就不能将 User Instance 设置为 True,或将其去掉。