未经作者允许。不论什么人不得以“原创”形式公布。也不得已用于商业用途,本人不负责不论什么法律责任。
前一篇:http://blog.csdn.net/dba_huangzj/article/details/39639365
前言:
数据库角色用于管理数据库内部的訪问和权限。
数据库角色成员是能通过client软件如SSMS连接SQL Server的数据库用户。可是你可能希望授予某个特殊用户一些特权。可是仅限制于某个应用程序而不是SSMS时,第一个解决方式是使用专用SQL 帐号作为应用程序的登录。可是这个方法的缺点是须要使用SQL Server身份验证。而且不能标识出哪个用户正在连接SQL Server。可是能够使用同一个应用程序登录名,而且使用Windows身份验证,因此能更好地标识应用程序的用户,从而在必要的时候提升权限。
实现:
1. 打开SSMS,在特定数据库的【安全性】→【角色】下。右键【应用程序角色】。选择【新建应用程序角色】:
2. 输入角色名、密码和可选的默认架构,假设为空即为dbo:
3. 在【安全对象】页。能够和数据库角色一样管理应用程序角色的权限:
4.也能够使用T-SQL实现这个操作:
CREATE APPLICATION ROLE MarketingReports WITH PASSWORD = N'A complex password please';
5. 当在程序中使用应用程序角色时。使用sp_setapprole系统存储过程改动会话的上下文:
EXEC sp_setapprole @rolename = 'MarketingReports', @password = N'A complex password please';
执行了这个存储过程之后,当前会话将执行在应用程序角色的上下文下。而且能够通过授权替代原有数据库用户的权限。
原理:
应用程序角色尽能够在代码中使用,而且仅能使用sp_setapprole存储过程,因为密码传输是明文。所以须要使用如SSL来加密传输链接。在切换上下文之后。应用程序角色的上下文会持续到断开server连接,假设须要恢复但不断开连接,能够使用sp_unsetapprole:
DECLARE @cookie varbinary(8000);
EXEC sp_setapprole @rolename = 'MarketingReports',
@password = N'A complex password please',
@fCreateCookie = true, @cookie = @cookie OUTPUT;
-- do something, then revert :
EXEC sp_unsetapprole @cookie;很多其它:
以下的C#片段。能够在连接后立即使用应用程序角色:
using (SqlConnection cn = new SqlConnection(connectionString))
{
SqlCommand cmd = new SqlCommand();
cmd.Connection = cn;
cmd.CommandType = CommandType.Text;
cmd.CommandText =
"EXEC sp_setapprole @rolename = 'MarketingReports',
@password = N'A complex password please'";
cn.Open();
int res = cmd.ExecuteNonQuery();
}下一篇: