11

我有一个具有应用程序角色的数据库。角色成员都属于 Active Directory 中的一个组。我没有授予角色从表中选择的权限,而是授予角色对它需要调用的所有存储过程的执行权限。

这工作正常,除了我的一个存储过程正在构建一些动态 SQL 并调用 sp_executesql。

动态 sql 看起来像这样:

SET @SQL = N'
SELECT * 
FROM dbo.uvView1 
INNER JOIN uvView2 ON uvView1.Id = uvView2.Id'

EXEC sp_executesql @SQL

此角色的用户未能调用存储过程。它给出了以下错误,这是我想的一种预期:

对象“uvView1”、数据库“Foobar”、模式“dbo”的 SELECT 权限被拒绝。

有没有一种方法可以让我的用户成功执行此过程,而无需授予动态 SQL 中所有视图的角色权限?

4

3 回答 3

11

是的。

将 EXECUTE AS CALLER 子句添加到过程中,然后对存储过程进行签名并为签名提供所需的权限。这是 100% 安全、可靠和防弹的。请参阅使用证书签署程序

于 2010-11-02T19:57:23.403 回答
2

您可以使用具有所需权限的另一个 ID 进行模拟吗?

SET @SQL = N'
EXECUTE AS USER = ''TrustedUser'';
SELECT * 
FROM dbo.uvView1 
INNER JOIN uvView2 ON uvView1.Id = uvView2.Id'

EXEC sp_executesql @SQL
于 2010-11-02T19:32:06.050 回答
0

不。有什么办法可以将其更改为不使用动态 SQL?

于 2010-11-02T19:28:59.840 回答