IIS、ASP.NET和SQLServer的安全性問題

IIS、ASP.NET和SQLServer的安全性問題此時(shí)，IIS將在一個(gè)權(quán)限有限的自定義帳戶下運(yùn)行。任何訪問者訪問您應(yīng)用程序的網(wǎng)頁(yè)時(shí)，都將以這個(gè)自定義用戶身份運(yùn)行，且只具有該自定義用戶的驗(yàn)證權(quán)限。

授權(quán)DotNetKB用戶帳戶訪問SQLServer

然后，您需要為該自定義用戶授予訪問數(shù)據(jù)庫(kù)(DotNetKB)的相應(yīng)權(quán)限。為此，您可以使用MicrosoftSQLServer企業(yè)治理器或編寫一個(gè)自定義腳本，以創(chuàng)立一個(gè)這樣的用戶并授予其訪問特定對(duì)象的權(quán)限。本文介紹如何使用SQLServer企業(yè)治理器完成此操作。

留意：盡管VisualStudio.NET2022具有與SQLServer兼容的很多強(qiáng)大的集勝利能，但也不允許從VisualStudio.NET2022中輕松治理用戶和用戶權(quán)限。在大型的組織和團(tuán)隊(duì)中，這些高級(jí)任務(wù)通常由數(shù)據(jù)庫(kù)治理員完成。因此，啟動(dòng)SQLServer企業(yè)治理器之后，您可以根據(jù)以下步驟將自定義用戶(DotNetKB)添加數(shù)據(jù)庫(kù)中。

·在左側(cè)的樹視圖中，綻開節(jié)點(diǎn)以顯示DotNetKB數(shù)據(jù)庫(kù)。在我的計(jì)算機(jī)上，樹視圖的構(gòu)造如下：ConsoleRootSQLServerGroup(LOCAL)(WindowsNT)DatabasesDotNetKB。

·然后，在數(shù)據(jù)庫(kù)下的Users（用戶）節(jié)點(diǎn)上單擊鼠標(biāo)右鍵，并選擇NewDatabaseUser...（新建數(shù)據(jù)庫(kù)用戶...）。顯示DatabaseUserProperties-NewUser（數(shù)據(jù)庫(kù)用戶屬性-新建用戶）對(duì)話框時(shí)，從Loginname（登錄名）下拉框中選擇（）。

·顯示SQLServerLoginProperties-NewLogin（SQLServer登錄屬性-新建登錄）對(duì)話框時(shí)，選擇General（常規(guī)）選項(xiàng)卡，并在Name（名稱）輸入框中輸入DotNetKB。確保選中WindowsAuthentication（Windows驗(yàn)證）單項(xiàng)選擇按鈕，并從Domain（域）下拉框中選擇自定義用戶帳戶所在的計(jì)算機(jī)的名稱。然后從Database（數(shù)據(jù)庫(kù)）下拉框中選擇DotNetKB。

·現(xiàn)在，選擇Databases（數(shù)據(jù)庫(kù)）選項(xiàng)卡，在對(duì)話框頂部的列表中找到DotNetKB數(shù)據(jù)庫(kù)并選中它。然后，確保選中對(duì)話框底部列表中的public（公共）角色。最終，單擊對(duì)話框底部的OK（確定）按鈕，保存您的更改。

然后，您需要為DotNetKB數(shù)據(jù)庫(kù)中的全部存儲(chǔ)過程和自定義函數(shù)添加執(zhí)行權(quán)限。為此，您只需為public（公共）角色授予權(quán)限。您可以將權(quán)限授予DotNetKB用戶，這樣將使以后的登錄（當(dāng)這些用戶獲得訪問DotNetKB的權(quán)）更簡(jiǎn)單執(zhí)行存儲(chǔ)過程，而不需要為每個(gè)用戶添加新的權(quán)限。

下面是為DotNetKB數(shù)據(jù)庫(kù)中的存儲(chǔ)過程和函數(shù)授予執(zhí)行權(quán)限的步驟：

·突出顯示樹視圖中DotNetKB數(shù)據(jù)庫(kù)下的Users（用戶）節(jié)點(diǎn)，以顯示此數(shù)據(jù)庫(kù)的用戶列表。找到DotNetKB用戶并在其上雙擊，翻開DatabaseUsersProperties（數(shù)據(jù)庫(kù)用戶屬性）對(duì)話框。

·突出顯示（選中）public（公共）角色時(shí)，單擊Properties...（屬性...）按鈕，翻開DatabaseRoleProperties（數(shù)據(jù)庫(kù)角色屬性）對(duì)話框。然后單擊Permissions...（權(quán)限...）按鈕，顯示數(shù)據(jù)庫(kù)對(duì)象和權(quán)限設(shè)置列表。

·選中對(duì)話框頂部Databaserole（數(shù)據(jù)庫(kù)角色）下拉列表中的public（公共）角色之后，找到為此數(shù)據(jù)庫(kù)定義的全部存儲(chǔ)過程和自定義函數(shù)（可能需要綻開對(duì)話框才能看到全名），并確保選中各項(xiàng)旁邊的EXECUTE（執(zhí)行）復(fù)選框。您可能會(huì)發(fā)覺某些系統(tǒng)對(duì)象的其他一些復(fù)選框也被選中了，請(qǐng)不要更改這些選項(xiàng)。

·最終，設(shè)置全部的EXECUTE（執(zhí)行）權(quán)限后，單擊OK（確定）按鈕，保存更改并關(guān)閉對(duì)話框。依次單擊OK（確定）按鈕，直到全部對(duì)話框均被關(guān)閉。

至此，您已為IIS創(chuàng)立了自定義用戶，并設(shè)置了該用戶在SQLServer中的相應(yīng)權(quán)限?，F(xiàn)在，您需要在ASP.NETWeb工程中進(jìn)展一個(gè)配置更改，確保ASP.NET使用同一個(gè)用戶帳戶執(zhí)行對(duì)SQLServer的全部調(diào)用。

設(shè)置您的ASP.NET應(yīng)用程序以模擬DotNetKB用戶

為IIS下運(yùn)行的ASP.NETWeb應(yīng)用程序生成堅(jiān)實(shí)牢靠的配置的最終一個(gè)步驟是：配置ASP.NETWeb應(yīng)用程序，使之能夠承受來(lái)自IIS的Windows用戶標(biāo)識(shí)并能用于訪問其他操作系統(tǒng)資源。為此，您只需在web.config根文件中輸入一行代碼。

修改后的web.config文件如下所示：

...其他要素...

...其他要素..