SQL Server中的所有权链及其问题
没有多少朋友对所有权链真的理解的。我自己有时候经常回过来看看这些资料,觉得还是很有意思的。下面的内容摘自微软文档,介绍得比较好
简而言之
1. 如果在同一个数据库中,只要两个对象的所有者是一样的,
那么他们之间的访问是不检查访问者身份的。
例如一个视图和一个表是属于同一个所有者,
那么只要用户有访问视图的权限,就等于拥有了访问表的权限,即便在表上面明确拒绝了用户的权限。
你可能会奇怪了,我们不是经常讲“拒绝优先”吗?没错,拒绝优先是对的,但事情的关键主要在于这个时候,
SQL Server根本就不检查权限了,当然就不存在任何问题。
这个特性可能在规划安全时很有用
2. 如果在不同数据库中,也可以实现与上面同样的所有权链接,此时我们称为“跨数据库所有权链”。因为有安全隐患,所以默认该选项是被禁用的
--以管理员登录
USE MASTER
GO
---创建两个数据库
CREATE DATABASE db1
GO
CREATE DATABASE db2
GO
--在第一个数据库中添加一个表,并添加一点数据
USE db1
GO
CREATE TABLE Table1(ID INT)
GO
INSERT INTO Table1 VALUES(1);
INSERT INTO Table1 VALUES(1);
INSERT INTO Table1 VALUES(1);
INSERT INTO Table1 VALUES(1);
--在第二个数据库中添加一个视图,让他去访问第一个数据库中的表
USE db2
GO
CREATE VIEW db1Table1View
AS
SELECT * FROM db1.dbo.Table1
--因为当前用户是管理员,它会属于sysadmin角色,所以可以访问到。即便没有开启跨数据库所有权链
SELECT * FROM db1Table1View
--创建一个LOGIN1
CREATE LOGIN [LOGIN1] WITH mailto:PASSWORD=N%27pass@word%27
--将该登录映射到db2,成为一个用户
CREATE USER [LOGIN1] FOR LOGIN [LOGIN1];
GO
--使用该用户的身份去访问那个视图
EXECUTE AS USER = 'LOGIN1'
SELECT CURRENT_USER --此时会切换到LOGIN1这个用户
SELECT * FROM db1Table1View --此时会失败,因为该用户不具备对视图的访问权限
--授予用户对视图的SELECT 权限
REVERT --回到之前的身份,因为要做授权
SELECT CURRENT_USER --此时的身份会切换回到chenxizhang所代表的用户,也就是dbo
GRANT SELECT ON [dbo].[db1Table1View] TO [LOGIN1]
--再次切换为LOGIN1身份
EXECUTE AS USER ='LOGIN1';
SELECT CURRENT_USER
SELECT * FROM db1Table1View
--此时出现下面这样的错误,说明当前用户确实试图去访问db1的Table1,但因为不能进行上下文链接,所以还是失败了
/*
消息 916,级别 14,状态 1,第 3 行
服务器主体 "LOGIN1" 无法在当前安全上下文下访问数据库 "db1"。
*/
--切换回chenxizhang身份,启用db1数据库的所有权链接
REVERT
SELECT CURRENT_USER
ALTER DATABASE db1 SET DB_CHAINING ON
ALTER DATABASE db2 SET DB_CHAINING ON
--再次切换为LOGIN1身份
EXECUTE AS USER ='LOGIN1';
SELECT CURRENT_USER
SELECT * FROM db1Table1View
/*
此时仍然出现一个错误。和上面是一样的。既然实现了所有权链接,为什么还是不行呢?
原因是因为在db1中也要存在该用户,即他至少要能访问数据库
*/
REVERT
USE db1
GO
CREATE USER LOGIN1 FOR LOGIN [LOGIN1]
GO
USE db2
GO
--再次切换为LOGIN1身份
EXECUTE AS USER ='LOGIN1';
SELECT CURRENT_USER
SELECT * FROM db1Table1View