SQL Server中的所有权链及其问题
没有多少朋友对所有权链真的理解的。我自己有时候经常回过来看看这些资料,觉得还是很有意思的。下面的内容摘自微软文档,介绍得比较好简而言之
1. 如果在同一个数据库中,只要两个对象的所有者是一样的,
那么他们之间的访问是不检查访问者身份的。例如一个视图和一个表是属于同一个所有者,那么只要用户有访问视图的权限,就等于拥有了访问表的权限,即便在表上面明确拒绝了用户的权限。你可能会奇怪了,我们不是经常讲“拒绝优先”吗?没错,拒绝优先是对的,但事情的关键主要在于这个时候,SQL Server根本就不检查权限了,当然就不存在任何问题。这个特性可能在规划安全时很有用
2. 如果在不同数据库中,也可以实现与上面同样的所有权链接,此时我们称为“跨数据库所有权链”。因为有安全隐患,所以默认该选项是被禁用的
--以管理员登录
USE MASTERGO---创建两个数据库
CREATE DATABASE db1GOCREATE DATABASE db2
GO--在第一个数据库中添加一个表,并添加一点数据
USE db1GOCREATE TABLE Table1(ID INT)
GOINSERT INTO Table1 VALUES(1);
INSERT INTO Table1 VALUES(1);INSERT INTO Table1 VALUES(1);INSERT INTO Table1 VALUES(1);--在第二个数据库中添加一个视图,让他去访问第一个数据库中的表
USE db2GOCREATE VIEW db1Table1View
ASSELECT * FROM db1.dbo.Table1--因为当前用户是管理员,它会属于sysadmin角色,所以可以访问到。即便没有开启跨数据库所有权链
SELECT * FROM db1Table1View--创建一个LOGIN1
CREATE LOGIN [LOGIN1] WITH--将该登录映射到db2,成为一个用户
CREATE USER [LOGIN1] FOR LOGIN [LOGIN1];GO--使用该用户的身份去访问那个视图
EXECUTE AS USER = 'LOGIN1'SELECT CURRENT_USER --此时会切换到LOGIN1这个用户SELECT * FROM db1Table1View --此时会失败,因为该用户不具备对视图的访问权限--授予用户对视图的SELECT 权限
REVERT --回到之前的身份,因为要做授权SELECT CURRENT_USER --此时的身份会切换回到chenxizhang所代表的用户,也就是dboGRANT SELECT ON [dbo].[db1Table1View] TO [LOGIN1]
--再次切换为LOGIN1身份
EXECUTE AS USER ='LOGIN1';SELECT CURRENT_USERSELECT * FROM db1Table1View--此时出现下面这样的错误,说明当前用户确实试图去访问db1的Table1,但因为不能进行上下文链接,所以还是失败了/*消息 916,级别 14,状态 1,第 3 行服务器主体 "LOGIN1" 无法在当前安全上下文下访问数据库 "db1"。*/
--切换回chenxizhang身份,启用db1数据库的所有权链接
REVERTSELECT CURRENT_USERALTER DATABASE db1 SET DB_CHAINING ON
ALTER DATABASE db2 SET DB_CHAINING ON--再次切换为LOGIN1身份
EXECUTE AS USER ='LOGIN1';SELECT CURRENT_USERSELECT * FROM db1Table1View/*此时仍然出现一个错误。和上面是一样的。既然实现了所有权链接,为什么还是不行呢?原因是因为在db1中也要存在该用户,即他至少要能访问数据库
*/REVERT
USE db1GOCREATE USER LOGIN1 FOR LOGIN [LOGIN1]
GOUSE db2
GO--再次切换为LOGIN1身份EXECUTE AS USER ='LOGIN1';SELECT CURRENT_USERSELECT * FROM db1Table1View