Доступ к серверу SQL Server из веб-приложения

  • Статья

Обновлен: Ноябрь 2007

Если в веб-приложении используется доступ к базе данных, ему необходимы учетные данные для доступа к серверу SQL Server (т. е. приложение должно выполнить вход на сервер SQL Server), как и всем остальным пользователям или процессам. Однако это может стать причиной возникновения некоторых сложностей в веб-приложении. Например, если веб-приложение запускается анонимно, то оно может не содержать учетных данных для передачи серверу SQL Server.

Существует несколько способов получения доступа веб-приложения к серверу SQL Server. Выбор стратегии зависит от конфигурации компьютеров и наличия интрасети. Самые простые способы включают:

  • Использование встроенных средств безопасности Windows. При этом учетные данные пользователя передаются на сервер SQL Server. Из-за проблем с делегированием это работает по умолчанию, если сервер SQL Server расположен на том же компьютере, где запущены службы IIS.

  • Сопоставления идентификатора приложения ASP.NET c пользователем домена Windows с последующим входом в базу данных в качестве этого пользователя. Этот способ лучше использовать для анонимного доступа, если сервер SQL Server и веб-сервер находятся на разных компьютерах.

  • Получение доступа к серверу SQL Server в качестве локального идентификатора приложения ASP.NET (например, учетной записи ASPNET на сервере Windows 2000 или учетной записи сетевой службы на Windows Server 2003). Такой подход хорошо работает при получении анонимного доступа.

  • Передача явного имени пользователя и пароля в строке подключения. Этот способ менее безопасен, чем другие, поэтому всегда следует использовать защищенную конфигурацию для обеспечения безопасности строк подключения. Можно передавать предварительно определенные имя пользователя и пароль.

В этом разделе

Термин

Определение

Практическое руководство. Получение доступа к серверу SQL Server с помощью встроенной безопасности Windows

Приводится пример использования встроенных средств безопасности Windows для доступа к базе данных.

Практическое руководство. Доступ к серверу SQL Server с помощью учетной записи пользователя сопоставленного домена Windows

Приводится пример использования сопоставления пользователя домена Windows для доступа к базе данных.

Практическое руководство. Доступ к серверу SQL Server с помощью учетной записи локального пользователя

Приводится пример использования локальной учетной записи пользователя для доступа к базе данных.

Практическое руководство. Доступ к серверу SQL Server с использованием предварительно определенных учетных данных

Приводится пример использования предварительно учетных данных для доступа к базе данных.

См. также

Основные понятия

Безопасный доступ к данным (ADO.NET)

Общие сведения об угрозах безопасности веб-приложений

Основные методы обеспечения безопасности веб-приложений

Другие ресурсы

Защита веб-узлов ASP.NET