Разрешения для учетной записи веб-сервисов

Question

Я пытаюсь защитить учетную запись веб-службы, которая подключается к веб-приложению. Я хотел бы знать, каков наилучший способ получения разрешения учетной записи? Должен ли веб-сервис выполнить все или доступ должен быть ограничен?

Я пытался ограничить доступ, назначая только хранимые процедуры и схемы, которые ему нужны, но для этого требуется обновлять доступ каждый раз, когда добавляется новая хранимая процедура. Это лучшая практика или учетная запись должна была выполнить все?

Answer 1

Вы можете легко создать новую роль базы данных в SQL Server следующим образом:

CREATE ROLE db_executor;

Название роли действительно зависит от вас - поскольку у вас уже есть db_reader и db_writer, этоdb_executor кажется вполне подходящим - но это полностью ваш выбор.

и затем предоставьте этой роли разрешения на выполнение для всех существующих И будущих хранимых процедур, подобных этой:

GRANT EXECUTE TO db_executor;

Эта роль теперь позволяет автоматически получать разрешение на выполнение для любой - даже future! - хранимой процедуры (и функции), которую вы можете создать в базе данных SQL Server.