- ODBC SQL OLE
3. Bảo mật truy xuất dữ liệu trên SQL Server.
Khi xây dựng các ứng dụng Web-database, cần chú ý đến việc bảo mật, có 3 mức độ bảo mật tại 3 nơi gồm :
- Web Server (do IIS đảm nhiệm)
- Hệ điều hành (ở đây là Windows NT Server đảm nhiệm) - Truy xuất dữ liệu (do SQL Server đảm nhiệm)
Mức thứ nhất : Bảo mật trên Web server được kể đến là dịch vụ SSL (Secure Socket Layer) cung cấp cơ chế mó hoỏ dữ liệu truyền giữa server và client.
Múc thứ hai : Windows NT Server kiểm tra account và ngăn cấm các login không hợp lệ vào các domain không được phép.
Mức thứ ba : Là mức truy xuất dữ liệu trên các object của database. SQL Server có 3 chế độ bảo mật gồm :
a. Standard :
Là default mode, ở chế độ này SQL Server đảm trách toàn bộ việc quản lý cỏc account của nú, SQL Server xỏc nhận một user và kiểm tra password/login trờn tất cả connection đến SQL Server.
b. Windows NT Integrated :
Chế độ này sử dụng cơ chế kiểm tra của Windows NT server cho tất cả connection. Khi SQL Server chạy ở chế độ này, Windows NT sẽ quản lý tất cả user kết nối vào thụng qua ACL (Access Control List) của nó. Tiện ích của chế độ bảo mật này là cho phép user sử dụng một password duy nhất để truy xuất tới tài nguyên trong domain và thời gian cũng như việc mó hoỏ password qua mạng. Như vậy, user không cần login lần thứ 2 khi truy xuất SQL Server. Một user login vào Windows NT server hoặc được gán connection hoặc bị từ chối kết nối đến SQL Server dựa trên thuộc tính của account trên NT server. Việc gán các quyền truy cập vào SQL Server cho một login vào NT Server tạo ra một login uỷ quyền, connection thông qua login được uỷ quyền gọi là kết nối được uỷ thác (trusted connection). Khi một user thiết lập được một connection uỷ thác đến SQL Server, user có thể :
- Được gắn với một login của SQL Server hiện hành trên server nếu tên login được so trùng với account của user.
- Kết nối với login SA nếu user là Adminitrator trên NT server.
Hầu hết các thao tác gán quyền cho mỗi user như quyền truy xuất vào các bảng, view, hay các object khác của database đều được quản lý bằng SQL server giống như trong chế độ Standard.
c. Mixed :
Kết hợp cả hai chế độ Standard và Integrated. Khi một user kết nối đến SQL Server trong chế độ mixed, trước tiên NT sẽ kiểm tra xem login name đó cú thiết lập một kết nối uỷ thỏc nào hay khụng. Nếu khụng tỡm thấy kết nối uỷ thỏc nào thỡ sau đó SQL Server sẽ kiểm tra login name và password. Nếu cũng không nhận biết login được yêu cầu trên server, truy xuất bị từ chối.