这个问题我想了很久...
我已经看到很多关于授予数据库基于角色的访问权限的讨论...但是对于 asp.net Web 应用程序... Web 应用程序可以通过任何方式连接到数据库,并在连接字符串中指定 ID ,与连接到应用程序的用户无关...(Windows auth 模型除外)...
在这种情况下...无需在数据库中创建单个用户的登录名,并为他提供所需的角色和访问限制..
这是否意味着,我们不必担心 asp.net 应用程序的 DB 中的用户访问限制,除了连接字符串中使用的用户......或者我在某处弄错了。
谢谢
【问题讨论】:
标签: .net asp.net sql-server database
无需单独创建 用户在数据库中的登录,并提供给他 具有所需的角色和访问权限 限制
正确。
这是否意味着,我们不必 担心用户访问限制 用于 asp.net 应用程序的数据库,除了 连接字符串中使用的用户
基本上。但是用户可能仍然被允许访问应用程序的某些部分......例如,管理权限可能不会授予所有用户。所以你仍然需要一个应用程序的用户安全机制,将应用程序权限授予特定用户。
这样的安全实现可以通过多种不同的方式实现。一种方法是在数据库中提供用户安全表,告诉应用程序每个用户拥有什么权限。另一种方法是使用 Active Directory 来存储和检索用户角色。
【讨论】:
关于你的陈述
“这是否意味着,除了连接字符串中使用的用户之外,我们不必担心 ASP.NET 应用程序的 DB 中的用户访问限制”
简短的回答是“是”
长答案是: 您解释的方法通常称为“可信子系统模型”。以下 URL 提供了有关此模型的更多详细信息: Trusted substem MSDN link
【讨论】: