数据库访问模拟

Question

我的目标是防止用户直接访问数据库服务器。一种方法是在前端应用程序和数据库服务器之间创建 WCF 服务或 Web 服务。

首先，用户将通过应用程序的身份验证。随后应用程序将通过WCF服务连接来执行业务逻辑操作。 WCF服务将使用一个Windows帐户执行数据库相关操作。这将阻止其他用户直接访问数据库服务器，因为该权限只会授予特定的一个 Windows 帐户。

我的问题是：即使数据库访问权限仅授予一个Windows帐户，并且WCF将使用此Windows帐户执行数据库相关操作，是否可以使用登录用户的凭据标记所有数据库相关操作？

更新
感谢您的回复。看来上面的场景是无法实现的。我目前正在探索 SQL 2008 应用程序角色功能。其中一个示例位于此处。但经过进一步探索，显然连接池存在问题。

更新
这里有一个关于 SQL Server 应用程序角色的堆栈溢出线程

Answer 1

您必须在 sys.server_principals 中设置每个用户以启用上下文切换（例如 EXECUTE AS），这意味着他们无论如何都可以直接访问数据库。

如果您启用了 kerberos/delegation，则同样适用。链接 One 和 两个

您必须传入用户名作为每个 SQL 调用的参数，或者也许使用 CONTEXT_INFO。

注意：每个 MS Office 用户都有 MSQRY32.EXE，它充当查询工具。如果您不想直接访问数据库，那么您需要确保没有设置或授予权限

Answer 2

视情况而定。

如果您的数据库和 WCF 服务位于同一个盒子上，并且您做了很多 jiggery pokery 来模拟，那么这是可能的。一旦您将数据库移至另一个盒子，它就会停止工作。

这是一个已知的限制，原因是模拟将创建一个令牌，该令牌将使您进入一个盒子，但不能传递到另一个盒子。我试图找到 MS 人员回答过的问答，但仍然找不到。每当我找到它，就会更新。