SQL Server 存储过程和权限与其他数据库

Question

我正在为一些新用户配置数据库帐户。我提出了以下解决方案，它是让帐户正常工作的 99%，但我遇到了一个我无法解决的问题。

首先，我创建了一个使用 SQL Server 身份验证的新登录名，然后授予他们对所有存储过程的 EXECUTE 权限。这允许他们全部运行，但他们无法查看代码，也无法查看数据库表。

在存储过程中我添加了以下内容：

WITH EXEC AS OWNER

这允许存储过程作为我们通常使用的默认帐户运行，并且具有db_owner 的角色。这允许新用户运行所有存储过程，并且在我遇到以下问题之前效果很好：

一些存储过程（所有这些都使用动态 SQL）调用一些同义词，这些同义词链接到其他两个数据库（历史和数据集市数据库）中的表。这给了我以下错误：

服务器主体“{username}”无法在当前安全上下文下访问数据库“{database name}”。

我在WITH EXEC AS 中使用的帐户是我正在使用的所有三个数据库中的db_owner。

我可以做些什么来解决这个问题？非常感谢

Answer 1

EXECUTE AS Owner 是一个数据库沙箱。想一想，它必须。否则，database 管理员可以发出 EXECUTE AS USER = 'somesystemadmin' 并将自己提升为 instance 级别的管理员。详情见Extending Database Impersonation by Using EXECUTE AS：

使用 EXECUTE AS USER 语句模拟主体时，或使用 EXECUTE AS 子句在数据库范围的模块中模拟主体时，默认情况下模拟范围仅限于数据库。这意味着对数据库范围之外的对象的引用将返回错误。

解决方案很简单：签署程序。有关示例，请参阅Call a procedure in another database from an activated procedure。在Module Signing 和Signing Stored Procedures in SQL Server 阅读更多内容。