Настройка разрешения для объектов, таких как хранимые процедуры, может быть выполнена с помощью «GRANT EXECUTE ON. To;
Однако вы также можете предоставить права безопасности как на уровне входа, так и на уровне пользователя. Вы захотите определить и предоставить ТОЛЬКО необходимые права для объектов, которым требуется доступ (например, выполнение). Рассмотрите возможность использования функции «EXECUTE AS», которая позволяет выдавать себя за другого пользователя для проверки прав доступа, необходимых для выполнения кода, БЕЗ необходимости предоставлять все необходимые права всем базовым объектам (например, таблицам). EXECUTE AS можно добавить к хранимым процессам, функциям, триггерам и т. Д.
Добавьте к коду, как показано ниже, прямо в хранимой процедуре: CREATE PROCEDURE dbo.MyProcedure WITH EXECUTE AS OWNER
В этом случае вы выдаете себя за владельца вызываемого модуля. Вы также можете выдавать себя за SELF, ИЛИ за пользователя, создающего или изменяющего модуль, ИЛИ ... выдавать за вызов CALLER, что позволит модулю принимать на себя права текущего пользователя, ИЛИ ... выдавать себя за СОБСТВЕННИКА, который получит разрешение от владелец процедуры, которая называется OR ... олицетворяет 'user_name', которая будет выдавать себя за конкретного пользователя, OR ... олицетворяет 'login_name', будет олицетворять конкретный вход в систему.
В большинстве случаев вам нужно будет только предоставить права EXECUTE для хранимых процедур, а затем права будут предоставлены всем объектам, на которые есть ссылки в хранимой процедуре.
Таким образом, вам НЕ НУЖНО давать неявные права (пример: обновлять данные или вызывать дополнительные процедуры). Владение цепочкой обрабатывает это для вас. Это особенно полезно для динамического SQL или если вам нужно создать задачи повышенной безопасности, такие как CREATE TABLE. EXECUTE AS - удобный инструмент для рассмотрения.
Этот пример может помочь прояснить все это:
Создание пользователя с именем NoPrivUser с открытым доступом к базе данных (например, dbadb)
ИСПОЛЬЗОВАТЬ [master] GO СОЗДАТЬ ВХОД [NoPrivUser] С ПАРОЛЕ = N'ABC5% ', DEFAULT_DATABASE = [dbadb], CHECK_EXPIRATION = ON, CHECK_POLICY = ON GO USE [DBAdb] GO СОЗДАТЬ ПОЛЬЗОВАТЕЛЯ [NoPrivser пользователя [NoPrivser] ] GO
ПРИМЕЧАНИЕ. СОЗДАТЕЛЬ ИЛИ ВЛАДЕЛЕЦ ЭТОЙ ПРОЦЕДУРЫ ТРЕБУЕТ СОЗДАТЬ ПРАВА ТАБЛИЦЫ в целевой базе данных.
использовать DBAdb go CREATE PROCEDURE dbo.MyProcedure С ВЫПОЛНИТЬ В КАЧЕСТВЕ ВЛАДЕЛЬЦА, ЕСЛИ НЕ СУЩЕСТВУЕТ (ВЫБЕРИТЕ * ОТ sys.objects WHERE object_id = OBJECT_ID (N '[dbo] .MyTable') И введите (N'U ')) CREATE TABLE MyTable (PKid int, column1 char (10)) Вставить в MyTable VALUES (1, 'ABCDEF')
GO
GRANT EXEC ON dbo.MyProcedure для NoPrivUser; GO
- Теперь войдите на сервер базы данных как NoPrivUser и выполните следующее.
использовать dbadb go
EXEC dbo.MyProcedure
(затронут 1 ряд)
Теперь попробуйте выбрать из новой таблицы, войдя в систему как NoPrivuser.
Вы получите следующее:
выберите * из MyTable go
Сообщение 229, Уровень 14, Состояние 5, Строка 1 Отказано в разрешении SELECT для объекта «MyTable», базы данных «DBAdb», схемы «dbo».
Это ожидаемо, поскольку вы выполняли процедуру только в контексте безопасности Owner, когда вошли в систему как NoPrivUser.
NoPrivUser, поскольку нет прав на фактическое чтение таблицы. Просто выполнить процедуру, которая создает и вставляет строки.
С предложением EXECUTE AS хранимая процедура запускается в контексте владельца объекта. Этот код успешно создает dbo.MyTable, и строки успешно вставляются. В этом примере пользователь NoPrivUser не имеет абсолютно никаких предоставленных прав на изменение таблицы или чтение или изменение любых данных в этой таблице.
Он берет только те права, которые необходимы для выполнения этой конкретной задачи, закодированной в контексте этой процедуры.
Этот метод создания хранимых процедур, которые могут выполнять задачи, требующие повышенных прав безопасности, без постоянного назначения этих прав, очень полезен.