我们有一个应用程序使用 Windows 身份验证来对数据库用户进行身份验证,并且 SQL Server 用户帐户需要对数据库表具有一定的读/写权限。
问题是用户可以安装 SQL Server Management Studio,并可能以不应该使用的方式使用数据库,这不是我想要的。
我阅读的所有内容都表明使用集成身份验证更安全,但目前,任何用户都可以使用 Management Studio 或 Access/Excel 来连接到数据库。
我已阅读问题SQL Server Authentication or Integrated Security?,其中提出了一些解决方法,但我并没有像重构所有存储过程等那样彻底更改应用程序的选项,所以我希望可能有另一个选项?
谢谢,
镍钴
【问题讨论】:
标签: sql-server
我读过的所有内容都这么说 使用集成身份验证是 更安全
--> 在某种程度上它更安全,因为获取密码更难。
如果您使用 SQL Server 身份验证,则连接字符串包含用户和密码。如果您知道连接字符串的位置(通常在配置文件中),您可以打开它并查看用户名和密码。
另一方面,如果您使用 Windows 身份验证,则连接字符串只会显示“Integrated Security=True”,然后您使用 Windows 帐户连接到服务器,实际密码隐藏在 Windows 内部深处的某个地方,并且更难以检索。
当然,Windows 身份验证的一大缺点是,如果您的用户需要对您的应用程序的某个表的写入权限,这意味着他们也可以使用任何其他应用程序写入同一个表。
有一些解决方法,但都不是灵丹妙药:
如果您的应用只需要数据库的某些表,您只需授予这些表的权限即可。所以至少,用户不能在所有其他表中做事
如果根本不允许用户从您的应用程序外部访问任何表,很遗憾您只能做两件事:
【讨论】:
EXECUTE 权限)。 See this MSDN link 了解更多信息。
如果您不希望用户访问您的数据库,请不要授予他们访问权限。
如果您需要控制他们可以做什么 - 那么您应该在 web 服务(或其他形式的代理服务)中进行访问控制,然后执行批准的查询、返回数据等。
【讨论】: