Chapter 3 Protecting the Data（4）：创建和使用应用程序角色

转载

mb5fd86d34c044c 2017-07-08 18:51:00

文章标签 应用程序 sql 数据库 javascript 存储过程 文章分类 代码人生

前言：

数据库角色用于管理数据库内部的訪问和权限。

数据库角色成员是能通过client软件如SSMS连接SQL Server的数据库用户。可是你可能希望授予某个特殊用户一些特权。可是仅限制于某个应用程序而不是SSMS时，第一个解决方式是使用专用SQL 帐号作为应用程序的登录。可是这个方法的缺点是须要使用SQL Server身份验证。而且不能标识出哪个用户正在连接SQL Server。可是能够使用同一个应用程序登录名，而且使用Windows身份验证，因此能更好地标识应用程序的用户，从而在必要的时候提升权限。

实现：

1. 打开SSMS，在特定数据库的【安全性】→【角色】下。右键【应用程序角色】。选择【新建应用程序角色】：

Chapter 3 Protecting the Data（4）：创建和使用应用程序角色_应用程序

2. 输入角色名、密码和可选的默认架构，假设为空即为dbo：

Chapter 3 Protecting the Data（4）：创建和使用应用程序角色_sql_02

3. 在【安全对象】页。能够和数据库角色一样管理应用程序角色的权限：

Chapter 3 Protecting the Data（4）：创建和使用应用程序角色_数据库_03

4.也能够使用T-SQL实现这个操作：

CREATE APPLICATION ROLE MarketingReports WITH PASSWORD = N'A complex password please';

5. 当在程序中使用应用程序角色时。使用sp_setapprole系统存储过程改动会话的上下文：

EXEC sp_setapprole @rolename = 'MarketingReports',     @password = N'A complex password please';

执行了这个存储过程之后，当前会话将执行在应用程序角色的上下文下。而且能够通过授权替代原有数据库用户的权限。

原理：

应用程序角色尽能够在代码中使用，而且仅能使用sp_setapprole存储过程，因为密码传输是明文。所以须要使用如SSL来加密传输链接。在切换上下文之后。应用程序角色的上下文会持续到断开server连接，假设须要恢复但不断开连接，能够使用sp_unsetapprole：

DECLARE @cookie varbinary(8000); 
EXEC sp_setapprole @rolename = 'MarketingReports', 
     @password = N'A complex password please', 
     @fCreateCookie = true, @cookie = @cookie OUTPUT; 
-- do something, then revert : 
EXEC sp_unsetapprole @cookie;

很多其它：

以下的C#片段。能够在连接后立即使用应用程序角色：

using (SqlConnection cn = new SqlConnection(connectionString)) 
{ 
    SqlCommand cmd = new SqlCommand(); 
    cmd.Connection = cn; 
    cmd.CommandType = CommandType.Text; 
    cmd.CommandText = 
               "EXEC sp_setapprole @rolename = 'MarketingReports',  
@password = N'A complex password please'"; 
    cn.Open(); 
    int res = cmd.ExecuteNonQuery(); 
}