笔记266 SQLSERVER2005中的应用程序角色 2013-5-5

笔记266 SQLSERVER2005中的应用程序角色  2013-5-5

--SQLSERVER2005中的应用程序角色  2013-5-5
--应用程序角色 跟固定数据库角色跟数据库用户是并排的
--应用程序角色是一个数据库主体，他使应用程序能够用其自身的、类似用户
--的特权来运行。使用应用程序角色可以只允许通过特定应用程序连接的用户
--访问特定数据

--与数据库角色不同的是，应用程序角色默认情况下不包含任何成员，而且是非活动的。
--应用程序角色使用两种身份验证模式，可以使用sp_setapprole来激活，并且需要密码
--因为应用程序角色是数据库级别的主体，所以他们只能通过其他数据库中授予guest用户
--帐户的权限来访问这些数据库。因此，任何已禁用guest用户账户的数据库对其他数据库
--中的应用程序角色都是不可访问的

--应用程序角色切换安全上下文的过程包括以下步骤
--（1）用户执行客户端应用程序
--（2）客户端应用程序作为用户连接到SQLSERVER
--（3）应用程序用一个只有他才知道的密码执行sp_setapprole存储过程
--（4）如果应用程序角色名称和密码都有效，将激活应用程序角色
--（5）此时，连接将失去用户权限，而获得应用程序角色权限
EXEC [sys].[sp_setapprole] @rolename = NULL, -- sysname
    @password = NULL, -- sysname
    @encrypt = '', -- varchar(10)
    @fCreateCookie = NULL, -- bit
    @cookie = NULL -- varbinary(50)

--例如，创建一个名为AppRole的角色，并且在查询中激活该角色，操作步骤如下
EXEC [sys].[sp_setapprole] @rolename = 'Approle', -- sysname
    @password = '123@ABC' -- sysname
   
--在SQL的早期版本中，用户若要在激活应用程序角色后重新获取其原始安全上下文，唯一的方法就是
--断开SQLSERVER连接，然后重新连接。在SQL2005中，sp_setapprole提供了Cookie选项，他可以在
--激活应用程序之前创建一个包含上下文信息的Cookie。sp_unsetapprole可以使用此Cookie将会话
--恢复到其原始上下文
--EXEC [sys].[sp_unsetapprole] @cookie = NULL -- varbinary(50)

DECLARE @cookie VARBINARY(8000)
EXEC [sys].[sp_setapprole] @rolename = 'Approle', -- sysname
    @password = '123@ABC', -- sysname
    @encrypt = '', -- varchar(10)
    @fCreateCookie = true, -- bit
    @cookie = @cookie OUTPUT -- varbinary(50)