使用 SQL Server 用户和角色作为 Intranet Web 应用程序的授权数据库？

Question

我有一个问题，我真的觉得我应该有一个简单的答案，但由于某种原因，我无法完全推理它。

我正在着手开发 ASP.NET MVC3 Intranet 应用程序，目前正在设计身份验证和身份验证。授权。我们被迫在我们的环境中使用基本身份验证，并且我们使用 Active Directory，因此通常会处理授权部分。不幸的是，活动目录中的角色/用户层次结构并不反映我对应用程序中的角色的需求，因此我必须定义自己的角色/用户层次结构。

我使用的是SQL Server，所以我最初考虑的是所有DML都使用存储过程，然后在SQL Server中创建角色并在角色中添加用户，然后通过这些角色控制对存储过程的访问。我还想我可以查询那些 SQL Server 数据库级用户和数据库级别的用户。角色，以便将其用作应用程序本身的授权信息源。最初这似乎是一个好主意，但它似乎并不受欢迎（首先，对于它们产生的结果来说，对此的查询似乎有点长且混乱）。或者，让 Web 应用程序模拟用户对服务器进行所有查询，然后使用我自己的架构实现用户/角色数据库，并且仅在应用程序端进行授权会更好吗？

最初看来，在应用程序和数据库端进行授权对于安全来说是一件好事，并且使用 SQL Server 用户/角色对象意味着用户和角色数据不需要存储在两个地方。

我确实在 看到了一些可能相关的讨论SQL Server 上用于 Web 应用程序的用户/角色的最佳实践，但我认为这总体上是一个不同的问题。

谢谢！

Answer 1

我建议创建一个 sql 登录名，Web 应用程序将使用它来连接到 sql server。这样您就不会冒充任何将来可能被删除、禁用的特定 AD 帐户，并且可以在 SQL Server 中严格控制用户。

然后，我建议在您的应用程序中实施基于角色的身份验证。这将使您能够创建针对您的应用程序自定义的用户和角色，然后将用户分配给他们。这样，如果用户尝试访问其角色不允许的资源，它将不会执行任何操作。这是一个基于此原则的演示应用程序 http://www.codeproject.com/ KB/web-security/rolesbasedauthentication.aspx。