ASP.NET 应用程序连接字符串和 SQL Server 安全/权限

Question

我正在实时（生产）服务器上部署一个 ASP.NET 应用程序和 SQL Server (2008) 数据库。物理服务器同时运行 SQL Server 2008 和 IIS 7 - 它由托管公司提供，不属于我们的内部网络。

我有几个关于数据库安全和 ASP.NET 应用程序的连接字符串的问题。

以前我会创建一个数据库用户并为每个表指定 SELECT/INSERT 等权限 - 但我的问题是此数据库中有 50 多个表，因此这样做需要很长时间。

应用程序要求对每个表执行 SELECT/INSERT/DELETE/UPDATE。

• 有没有比单独为每个表指定权限更好的方法？
• 对于实时网络服务器，是否有类似的集成安全性 - 有哪些缺点？
• 或者有没有办法提升特定用户的访问权限以完全访问特定数据库

还有连接字符串会如何变化？

我只是在寻找一些专家的建议，只是有人可以为我指出正确的方向以及一些文档的链接，以了解如何实现更好的方法。

非常感谢。

Answer 1

您的项目符号列表中基本上有三个不相关的问题，而不是一个。

• 第一个更适合ServerFault.com，因为它处理SQL Server，不一定是编程问题。
  • 然而，谷歌得到了回报，这里有一个方法：http://www.tech-recipes.com/rx/2298/sql_server_2005_easily_grant_select_all_tables_views/
  • 或者，您可以将用户分配到正确的组，如@Oded 的回答中所述：TSQL granting read and write permissions to all tables
• 对于第二个，集成安全性，是的，有一种方法可以将集成安全性与 ASP.NET 结合使用。见这篇文章：http://msdn.microsoft.com/en-us/library/bsz5788z.aspx
  • 最大的缺点是配置较多。这是一种非标准（但受支持）配置，因此维护程序员以前可能没有见过该设置。
  • 此外，如果您这样做，如果您使用的帐户在其他地方具有权限，则可能存在安全问题。一定要遵循最小特权原则。最好为每个网站专门创建一个域帐户，因此如果一个网站受到威胁，它会限制可以造成的损害。您比我更了解您的安全问题，因此这可能是相关建议，也可能不是相关建议，但值得考虑。
  • 最后，（这可能太明显以至于无法指出）使用真人的 UserId 是愚蠢的。如果该人离开公司并且他们的帐户被删除，那么网站显然会崩溃。
• 既然我已经找到了第一个问题的答案，那么第三个问题就变得毫无意义了。

Answer 2

您可以创建或使用现有的数据库角色。然后，您将用户放入该角色以允许该用户拥有您需要的所有权限。例如，根据您描述的场景，您可以将您在连接中使用的用户帐户放入 db_datawriter 角色。

见http://msdn.microsoft.com/en-us/library/ms189121%28v=sql.105%29.aspx

本文还介绍了如何提升用户的权限。

Integrated security 可以工作——它只要求建立连接的计算机上使用的登录名可以被数据库服务器识别（在相同或信任的 Windows 域中）。