Руководство по основным приемам работы в ms sql server 2014 по дисциплине

74 
Можно также создать пользовательские роли базы данных, которые позволят 
установить более детальные разрешения. Это можно сделать с помощью 
SSMS или инструкцию CREATE ROLE, как показано в следующем примере: 
CREATE ROLE product_reader; 
С помощью среды SSMS или инструкции ALTER ROLE можно управлять 
членством в роли, например, добавлять и удалять имена входа. В следующем 
примере кода пользователь веб-приложение добавляется к product_reader 
роль: 
ALTER ROLE product_reader 
ADD MEMBER WebApp; 
Чтобы удалить члена роли, используйте оператор ALTER ROLE с 
предложением DROP MEMBER. 
Запрос к системному представлению sys.database_role_members возвращает 
список всех членов фиксированных и пользовательских ролей базы данных. 
Не добавляйте гибкие роли базы данных в качестве членов предопределенных 
ролей. Это может привести к непреднамеренному повышению прав 
доступа. 
Управление ролями приложений 
Роль приложения – это участник безопасности базы данных, который 
позволяет приложению активировать альтернативный (обычно повышенный) 
контекст безопасности для получения разрешений, необходимых для 
конкретной операции, которые не предоставляются текущему пользователю. 
Например, приложение «пункт продажи» используется в супермаркете для 
записи сделок купли-продажи. Оператор, оформляющий заказ, может войти, 
используя свои собственные учетные данные, и ввести данные каждого 
закупаемого товара. Для этого ему требуется разрешение INSERT для 
таблицы сделок купли-продажи. В некоторых случаях после завершения 
сделки клиенту может понадобиться добавить дополнительный элемент. Это 
требует разрешение UPDATE в таблице сделок купли-продажи, которое не 
было предоставлено оператору кассы. В этом случае контролер может ввести 
код, чтобы подтвердить операцию, после чего приложение активизирует роль 
приложения, которое имеет необходимые разрешения. После того, как 
обновление было выполнено, роль приложения можно отключить, и контекст 
безопасности возвращается к учетной записи оператора на кассе. 
Создать роль приложения можно с помощью инструкции Transact-SQL 
CREATE APPLICATION ROLE, указав пароль: 
CREATE APPLICATION ROLE sales_supervisor 
WITH PASSWORD = 'Pa$$w0rd'; 
После того, как роль приложения создана, и ей назначены необходимые 
разрешения, она может быть активирована путем выполнения системной 
хранимой процедуры sp_setapprole. 
EXEC sp_setapprole 'SalesSupervisor', 'Pa$$w0rd'; 
GO 

75
Роль приложения остается активной до тех пор, пока пользователь не 
разрывает соединение с SQL Server или не деактивируется с помощью 
системной хранимой процедуры sp_unsetapprole. Однако чтобы использовать 
sp_unsetapprole, необходимо указать файл cookie, который был создан при 
активации роли приложения. 
В следующем примере кода показано, как создать cookie при активации роли 
приложения: 
EXEC sp_setapprole 'sales_supervisor', 'Pa$$w0rd', 
@fCreateCookie = true, @cookie = @cookie OUTPUT; 
Параметр 

Download 2,26 Mb.

Do'stlaringiz bilan baham: