在保密你的服务器和数据，防备当前复杂的攻击，SQL Server有你需要的一切。但在你能有效使用这些安全功能前，你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础，因此你可以对SQL Server里的安全功能充分利用，不用在面对特定威胁，不能保护你数据的功能上浪费时间。

SQL Server决定主体是否有需要的许可执行代码的基本方式是它的执行上下文角色。这都是复杂的可能性，主体有执行代码的许可，但没有代码访问的潜在对象的许可，例如表里的数据。这篇文章会探寻SQL Server执行上下文，所有权链接接，模拟，还有向你展示下如果通过T-SQL代码控制数据访问。

执行上下文

当用户执行一个存储过程或其它数据库代码时，SQL Server检查确保，不仅用户有运行存储过程的许可，而且有代码访问使用数据库对象的许可。没有这类许可检查，有些人会很容易创建可以读取表，使用执行代码访问不需要其它的对象代码。这会是重大的安全漏洞。

这个许可检查过程不发生的唯一例外是代码的所有者也是代码访问的所有潜在对象的所有者。在这个共同所有权下，SQL Server验证调用者在代码上有EXECUTE许可，不会继续检查许可。

例如，如果在存储过程中的嗲吗访问三个表和四个视图，SQL Server在执行代码前进行这些概念上的步骤：

1. 在代码上验证调用者有EXECTUTE许可。如果调用者没有，返回一个错误并不再继续。
2. 检查代码的所有者是否也有代码访问对象的许可。如果共同所有权（common ownership）存在的话，停止检查并执行代码。
3. 如果共同所有权（common ownership）不存在的话，检查确保调用者代码访问的对象上有许可。如果调用者在一个或多个对象上没有许可，返回一个错误且不执行代码。
4. 如果调用者有所有需要的许可，执行代码。否则，返回错误且不执行代码。

在代码调用其它带按摩或访问其它对象的地方，共同所有权继续检查，即轮流调用其它代码或访问其它对象。只要链里的所有对象有同样的所有者，许可检查就不需要。但只要链里的一个对象比要访问它的对象多出不同的所有者，在那个对象上的许可就检查了。

在这钟情形里的对象所有权被称为所有权链接接（ownership chain），因为你不需要担心代码执行的安全上下文。这也是SQL Server的早期版本有拥有所有对象的特定dbo角色的直接原因。但任何时候你有共同所有权和许可来访问一切，你就违法了最小特权许可，暴露你的数据在不需要的安全危机里。

幸运的是，在SQL Server里你可以修改代码的安全执行上下文。

提示：

这篇文章会探寻执行在存储过程上的执行上下文和代码签名，但它们同样对大多数用户自定义函数也支持。

修改执行上下文

一般你不想调用者的许可用来在破坏的所有权链接接里验证许可。有时你想代码好像完全被另一个用户执行一样，通过另一个用户的许可在访问的所有的对象上验证许可。这称为切换代码的执行上下文。这让你使用SQL Server颗粒度许可的优点，对潜在的对象保持完全的许可控制，但还是给不同用户执行代码的能力。

在SQL Server里，当你定义任何类型的用户自定义函数（行内表值函数除外），存储过程和触发器，你可以使用EXECUTE AS子句作为对象定义的一部分，表示这个代码应该在指定用户的安全上下文下运行。

EXECUTE AS有4个可用选项：

• EXECUTE AS CALLER:默认用户向下兼容。代码在调用者的上下文里执行，调用者必须同时有执行代码和访问潜在对象的许可。实际的操作取决于所有权链接接上是否损坏或完好。
• EXECUTE AS = ‘username’ and EXECUTE AS = ‘loginname’:代码在指定用户或登录的上下文里运行，因此指定的用户或登录必须在所有的潜在对象上有许可。在这个情况下，调用者必须满足下列之一：
  • 在代码上有EXECUTE许可
  • 是sysadmin或db_owner，或者在服务器或数据库上有CONTROL SERVER许可，或者对于用户有模仿（impersonate）许可。

使用用户名的EXECUTE AS只能应用于服务器范围的DDL触发器，且要登录到触发器。否则，提供的用户名必须是有效的数据库用户名称。

• EXECUTE AS SELF:这是创建存储过程的当前用户的缩写。和EXECUTE = [myUserName]等效。SQL Server目录村里写代码的实际用户ID。
• EXECUTE AS OWNER:这是在指定用户的安全上下文运行的另一个变体，在这个情况下，代码所有者在代码执行时间，而不是在创建时间。如果在数据库里，拥有者在代码创建后修改了，这表示代码会在和首次创建代码的不同用户的许可执行。

当你在SSMS里运行代码时，在会话的执行上下文里，有两种EXECUTE AS的变体可以作为语句使用。它们是EXECUTE AS LOGIN = ‘loginname’ 和EXECUTE AS USER = ‘username’。当用户登录到SQL Server实例时，会话开始，那个时候的执行上下文设置为登录的用户，用作许可检查。EXECUTE AS 修改会话期间执行上下文，直到用户执行了REVERT语句。

通过EXECUTE AS修改安全上下文的任何时间，代码创建者或会话用户在语句里指定的用户必须有模仿（impersonate）许可。你永远不需要模拟自己的许可，例如EXECUTE AS SELF。

使用EXECUTE AS子句

在数据库里，假设你有Vendor表。表在SchemaUserTable架构里定义，属于UserTable用户。代码6.1定义了范文这个表的存储过程。在SchemaUserProc定义的存储过程，属于UserProc用户。因为表和存储过程在属于不同用户的不同架构里定义，存在断开的所有权链接接。

1 USE ExecuteContextDB;2 GO3 CREATE PROC SchemaUserProc.VendorAccessProc @state CHAR(2)4 AS 5   SELECT * FROM SchemaUserTable.Vendor WHERE state = @state;6 GO

原标题：SQL Server安全（6/11）：执行上下文与代码签名（Execution Context and Code Signing）

关键词：sql