用户和登陆的ID、Name和SID

SQL Server的安全主体主要分为Login、User和Role，不只有ID属性，还有Name属性和SID属性，SID是指Security ID。在查看用户和登陆的时候，受到模拟上下文的影响。当执行EXECUTE AS命令，切换上下文以后，除了ORIGINAL_LOGIN以外，其余函数都会返回模拟上下文的Login和User信息。

一，查看数据库用户

数据库主体，能够从sys.database_principals中查看，不只包含User，还包括数据库角色（DATABASE_ROLE）。每个user不只有ID属性，还有Name属性和SID属性。

 数据库用户是指在特定的数据库中建立的用户，分为SQL_USER、WINDOWS_USER和WINDOWS_GROUP三种类型。用户的Name属性，是指数据库主体的name属性，用户的ID属性，是指数据库主体的principal_id属性。

1，查看数据库用户的name

查看数据库用户的name，使用CURRENT_USER 和 USER_NAME()。若是用户使用EXECUTE AS命令切换上下文，那么CURRENT_USER和 USER_NAME() 返回模拟上下文的用户的Name。若是用户经过Windows 验证返回数据库，而且是Windows Group的成员，那么CURRENT_USER和 USER_NAME()返回Windows主体的名称，而不是Group的名称。

对于CURRENT_USER

返回当前安全上下文User Name，该函数等价于USER_NAME()函数。

CURRENT_USER

好比，sysadmin 服务器角色的成员，其CURRENT_USER就是dbo。若是登陆的用户是domain\user1，属于domain\group1的成员，经过group1的权限来访问数据库，那么CURRENT_USER返回的Windows 主体的名称是domain\user1。

对于USER_NAME()函数

参数id是int类型，经过用户id来返回用户的name，若是省略参数，返回当前用户的name。

USER_NAME ( [ id ] )

对于USER

USER和 USER_NAME()函数的功能相同。

USER  

2，查看数据库用户的ID

经过用户的name来查看用户的ID：

USER_ID ( [ 'user' ] )

用户和角色都属于数据库主体，也能够经过DATABASE_PRINCIPAL_ID()来查看用户的ID：

DATABASE_PRINCIPAL_ID ( 'principal_name' )  

二，查看服务器登陆

Login（登陆）是服务器主体（Server Principal），除了Login以外，服务器主体还包括SERVER_ROLE。

从sys.server_principals中查看Login的属性，Login分为三个类型：SQL_LOGIN、WINDOWS_LOGIN和WINDOWS_GROUP。

 每一个Login都有Name属性、ID属性和一个安全标识（SID）。Login ID是指服务器主体的 principal_id属性，Login Name是指服务器主体的name属性。

1，查看Login的Name属性

经过SYSTEM_USER返回当前Login的名称：

SYSTEM_USER  

经过SUSER_NAME()函数返回指定Login ID的名称，参数是Login ID（principal_id）：

SUSER_NAME ( [ server_user_id ] ) 

若是省略参数server_user_id，那么返回当前Login的名称。

2，查看Login的ID属性

经过Login的Name来查看Login的ID属性：

SUSER_ID ( [ 'login' ] ) 

三，SID和ID

当建立一个Login（SQL Login 或 Windows Login）时，系统会自动建立Login的 ID 和 SID，从sys.server_principals 系统视图中，看到该Login对应一个ID和SID。在SQL Server实例中，ID和SID都是惟一的，不一样之处是，ID标识Login，将Login做为一个安全主体，SID标识Login的安全上下文（Security Context）。通常来讲，ID能够重用，可是SID通常是不会重用的。当同一个Login重复建立时，其Login ID可能发生变化，可是其SID不变。

不只Login有ID和SID，Database User也有。当建立一个数据库user时，从sys.database_principals中，可以看到该User被指定一个ID和SID。在数据库级别，User的ID是惟一的。

在建立User时，须要把User和Login映射起来，这就使得User和Login具备相同的SID属性。关于SID和ID的详细信息，请阅读《SIDs and IDs》

 

经过Login的Name查看SID：

SUSER_SID ( [ 'login' ] [ , Param2 ] )  

经过SID查看Login的Name属性：

SUSER_SNAME ( [ server_user_sid ] )

四，检查成员关系

检查某一个用户或Login是否属于Windows Group或Role（Database Role 或 Server Role）的成员。

1，检查当前用户是否是Windows Group和 Database Role的成员：

IS_MEMBER ( { 'group' | 'role' } )  

2，检查指定的数据库主体是否是Database Role的成员

IS_ROLEMEMBER ( 'role' [ , 'database_principal' ] ) 

3，检查Login是否是Server Role的成员

IS_SRVROLEMEMBER ( 'role' [ , 'login' ] ) 

五，模拟上下文和原始上下文

当执行EXECUTE AS 命令以后，用户的安全上下文会被切换为指定的用户。ORIGINAL_LOGIN() 返回最原始的Login名称，不受上下文切换的影响：

ORIGINAL_LOGIN( ) 

其余返回用户和Login的函数，都是基于当前上下文的。

好比，SESSION_USER返回当前安全上下文的用户名称，若是该函数在EXECUTE AS 命令以后被调用，那么上下文被切换，SESSION_USER返回模拟上下文的用户名称：

SESSION_USER 

 

参考文档：

Security Functions (Transact-SQL)