为了记录我正在开发的应用程序的使用情况,我需要每个使用我的应用程序的用户在他们自己的凭据下对我的 SQL Server 数据库执行查询。
为了不以可检索的方式存储他们的密码,我不能在每个用户的基础上创建连接(因为这将需要在他们登录时通过简短的窗口知道他们的密码)。
看似显而易见,解决这个问题(可能不是最佳的)是将所有敏感查询作为通用“应用程序”用户运行,模拟登录用户(要求我只将登录用户与用户名相关联。 ..这不是一件坏事)。
我的问题是我不确定如何授予某个角色的所有用户或所有一般用户的模拟权限(这不是最聪明的想法,因为我不希望应用程序模拟系统管理员)。
grant impersonate on all to ApplicationLogin
不起作用,并且我找不到任何文件表明授予角色成员模拟是可行的......
有任何想法吗?
您可以使用动态 sql 。下面的代码获取与特定角色相关的所有用户,然后授予用户模拟权限。您应该在应用程序登录时创建一个用户以将其与数据库相关联,然后授予权限以模拟特定角色的所有成员。这是代码:
CREATE TRIGGER S2
ON DATABASE
FOR CREATE_USER
AS
CREATE TABLE #T
(PRINCIPAL_NAME NVARCHAR(100),ROLE_NAME NVARCHAR(100));
WITH L AS (SELECT *
FROM (SELECT P.name AS 'PRINCIPAL_NAME',R.role_principal_id AS 'GH'
FROM SYS.database_principals P,sys.database_role_members R
WHERE P.principal_id=R.member_principal_id OR P.principal_id=R.role_principal_id
AND type<>'R') S INNER JOIN (SELECT P.name AS 'ROLE_NAME',P.principal_id AS 'GHA'
FROM SYS.database_principals P,sys.database_role_members R
WHERE P.principal_id=R.member_principal_id OR P.principal_id=R.role_principal_id
AND type='R') D
ON D.GHA=S.GH)
INSERT INTO #T
SELECT DISTINCT PRINCIPAL_NAME,ROLE_NAME
FROM L
------------ ENTER ROLE NAME HERE
WHERE ROLE_NAME LIKE '%%'
------------
DECLARE @P NVARCHAR(100),@TEXT NVARCHAR(MAX)=''
------------------------- CHANGE IT TO YOUR DESIRED NAME OF YOUR APPLICATION USER
DECLARE @APPUSER NVARCHAR(100)='APPLICATION_USER'
-------------------------
DECLARE C CURSOR FOR SELECT PRINCIPAL_NAME FROM #T
OPEN C
FETCH NEXT FROM C INTO @P
WHILE(@@FETCH_STATUS=0)
BEGIN
SET @TEXT+='GRANT IMPERSONATE ON USER::['+@P+'] TO '+@APPUSER+' '
FETCH NEXT FROM C INTO @P
END
CLOSE C
DEALLOCATE C
DROP TABLE #T
EXEC(@TEXT)
我希望它对你有用。
您可以通过存储过程创建用户。存储过程的最后一行是授予模拟权限。
要设置当前用户,您必须循环浏览所有用户并设置一次授权模拟。