我有一个具有应用程序角色的数据库.角色成员都属于Active Directory中的组.我没有赋予角色权限以从表中选择,而是赋予角色对其需要调用的所有存储过程的执行权限.
这工作正常,除了我的一个存储过程,它正在构建一些动态sql并调用sp_executesql.
动态sql看起来像这样:
SET @sql = N' SELECT * FROM dbo.uvView1 INNER JOIN uvView2 ON uvView1.Id = uvView2.Id' EXEC sp_executesql @sql
此角色的用户无法调用存储过程.它给出了以下错误,我想这是一种预期:
对象’uvView1′,数据库’Foobar’,架构’dbo’上的SELECT权限被拒绝.
解决方法
是.
向过程添加EXECUTE AS CALLER子句,然后对存储过程进行签名并为签名提供所需的权限.这是100%安全,安全和防弹.见Signing Procedures with Certificates.