sql-server - 在登录触发器内切换执行上下文

Question

我在使用混合模式身份验证的 Microsoft SQL Server 2008 Express 实例中有一个名为 MyDB 的数据库。使用数据库 MyDB 的应用程序当前使用 Windows 身份验证连接，使用当前用户的 Windows 凭据。此登录是“公共”服务器角色的成员，并且在 MyDB 数据库中有一个用户映射到它。此数据库用户是 db_datareader 和 db_datawriter 数据库角色的成员。

我想要的是，当应用程序连接时，它有权在 MyDB 中读取和写入。但是当另一个应用程序使用相同的登录名连接时，它应该只被允许读取。

我的想法是我将创建一个登录触发器，它将检查连接字符串的应用程序名称部分，并据此决定是否应切换执行上下文。（作为记录，我知道依靠连接字符串的应用程序名称是不安全的，而且它很容易被规避。这里的目的不是保护数据库，而是帮助用户避免更改使用其他应用程序（例如 Microsoft Excel）连接时的数据）

我创建了一个名为“myapp_reader”的新登录名，映射到 MyDB 数据库中的用户，该用户是 db_datareader 的成员。

然后我尝试使用以下 TSQL 创建登录触发器：

CREATE TRIGGER CheckUser
ON ALL SERVER
AFTER LOGON AS
BEGIN
IF APP_NAME() <> 'My Application Name'
    BEGIN
        EXECUTE AS LOGIN = 'myapp_reader' WITH NO REVERT
    END
END

但不幸的是，它不起作用。当我尝试连接时，出现以下错误：

由于触发器执行，登录“MyComputer\MyWindowsUsername”登录失败。
将数据库上下文更改为“主”。
将语言设置更改为 us_english。（Microsoft SQL Server，错误：17892）

当我查看错误日志时，它说：

错误：15590，严重性：16，状态：1
。只能在临时级别将“不还原”或“Cookie”选项与“执行为”语句一起使用。
错误：17892，严重性：20，状态：1
。由于触发器执行，登录“MyComputer\MyWindowsUsername”登录失败。[客户：xxx.xxx.xxx.xxx]

此错误是否意味着我无法永久更改登录触发器中的执行上下文？

Answer 1

我认为不可能更改整个会话的执行上下文。您可以为数据库中的每个表/视图创建一个用于 INSERT、UPDATE 和 DELETE 的 DML 触发器，该触发器对某个 app_name() 进行回滚。您可以编写一个程序来自动创建所有这些触发器。

或者，如果您可以选择通过链接服务器连接 Excel 等应用程序，那么此时您可以更改执行上下文。如果用户尝试通过 Excel 或其他应用程序直接连接到服务器，则创建一个登录触发器来回滚连接。

Answer 2

假设您可以控制应用程序并且可以对其进行修改，那么应用程序角色将完全按照您的意愿行事。请参阅联机丛书中的 sp_setapprole 以开始使用。

Answer 3

你不能以你想要的方式做到这一点。

• 除了使用 EXECUTE AS 的某些特定范围外，用户连接始终具有相同的凭据。
• 您已经意识到您不能依赖 APP_NAME() 或 HOST_NAME() 来检测某人何时以不同方式连接，这意味着每个表的回滚触发器不能依赖于那里
• 您的应用依赖于直接表写入访问

我能想到的一些选择...

• 您的应用程序使用存储过程，用户只有表的读取权限
• 在您的应用程序中使用 SET CONTEXT_INFO 为回滚触发器设置“秘密”密钥
• 更改您的应用程序以使用服务帐户/是 Windows 服务/等并代理用户名（就像网页一样）
• ...或一些排列

Answer 4

您确实需要首先决定如何组织和管理凭据。

如果您使用 sp_setapprole，它将绕过 Windows 身份验证并允许任何用户通过该应用程序进行访问。如果那是您真正想要做的，那么如果应用程序是服务器，则为该应用程序创建用户帐户并在该用户的凭据下运行它。

如果它是客户端应用程序，则创建一个 Web 服务，该服务将仅读取和发送应用程序需要的特定数据，并在新帐户下运行该 Web 服务。然后，在 IIS7 中，您可以将 ACL 放在 Web 服务本身上，以便它仍然受到保护。

此外，如果该应用程序不被信任是干净的并且知道它在做什么，那么请求必须在允许它接触 SQL 服务器之前对其进行代码审查。如果它是您自己的应用程序，那么请开始相信自己 :-)