主页 / dba / 问题 / 143127
Accepted
user45867
Asked: 2016-07-07 07:05:29 +0800 CST

如果视图 A 构建在其他视图和表之上,用户是否需要仅查看 A 的权限,或者查看所有内容?

  • 772

我特别在谈论 SQL Server。我想一个用户尝试了它并得到了一个错误(你没有在查询中明确提到的隐藏底层视图 B 的选择权限)。主视图 A 将一个表和另一个视图(视图 B)连接在一起,它们没有视图 B 的权限。

我不负责数据库的权限,但我很好奇它是如何工作的。

您是否需要授予视图下构建的每个对象的权限?还是只是视图本身?还是其中之一?

我认为视图的目的之一是您不想为其授予完全权限的基础对象的快照。这对我来说很不寻常。

sql-server permissions

2 个回答

  1. Best Answer

    您是否需要授予视图下构建的每个对象的权限?还是只是视图本身?还是其中之一?

    需要向执行视图引用的每个对象的查询的人授予权限。除非它们归视图所有者所有。在这种情况下,所有权链开始发挥作用。

    当通过链访问对象时,SQL Server 首先将对象的所有者与调用对象的所有者进行比较。这是链条中的前一个环节。如果两个对象具有相同的所有者,则不会评估对所引用对象的权限。

    下面创建两个表。T1(由 TestUser1 拥有)和 T2(由 TestUser2 拥有)以及引用这两个表并由 TestUser1 拥有的视图。

    第三个用户被授予对视图的 SELECT 权限,但没有授予任何基础对象。从视图中选择最初对他们来说是失败的。但是,在授予他们对 T2 的选择权限后,它会成功。无需授予他们对 T1 的权限,因为它与视图属于同一用户。

    设置

    CREATE USER TestUser1 WITHOUT LOGIN;
CREATE USER TestUser2 WITHOUT LOGIN;
CREATE USER TestUser3 WITHOUT LOGIN;

CREATE TABLE dbo.T1(C INT);

ALTER AUTHORIZATION ON dbo.T1 TO TestUser1; 


CREATE TABLE dbo.T2(C INT);

ALTER AUTHORIZATION ON dbo.T2 TO TestUser2; 

GO

CREATE VIEW dbo.V
AS
SELECT T1.C
FROM dbo.T1 CROSS JOIN dbo.T2

GO

ALTER AUTHORIZATION ON dbo.V TO TestUser1;

GRANT SELECT ON dbo.V TO TestUser3;

    测试 1(失败)

    EXECUTE AS USER='TestUser3';

SELECT *
FROM dbo.V;

REVERT;

    对象“T2”、数据库“Foo”、模式“dbo”的 SELECT 权限被拒绝。

    测试 2(成功)

    GRANT SELECT ON dbo.T2 TO TestUser3    

EXECUTE AS USER='TestUser3';

SELECT *
FROM dbo.V;

REVERT;

    清理

    DROP TABLE dbo.T1, dbo.T2
DROP VIEW dbo.V
DROP USER TestUser1
DROP USER TestUser2
DROP USER TestUser3
    • 5

  2. 需要对基础表的权限的是视图的所有者,而不是查询视图的人。如果您在查询视图时收到权限被拒绝消息,可能是因为视图所有者没有对基础表之一的适当权限。

    • 0

相关问题