EXECUTE AS (Transact-SQL)

在 EXECUTE AS <context_specification> 中指定的使用者或登入名稱，必須以主體形式分別存在於 sys.database_principals 或 sys.server_principals 中，否則 EXECUTE AS 陳述式就會失敗。此外，還必須授與主體的 IMPERSONATE 權限。除非呼叫者是資料庫擁有者，或是系統管理員 (sysadmin) 固定伺服器角色的成員，否則主體必須存在，即使當使用者透過 Windows 群組成員資格在存取資料庫或 SQL Server 的執行個體時也一樣。例如，假設有下列情況：

• CompanyDomain\SQLUsers 群組有權存取 Sales 資料庫。

• CompanyDomain\SqlUser1 是 SQLUsers 的成員，因此對 Sales 資料庫具有隱含的存取權。

雖然 CompanyDomain\SqlUser1 有權透過 SQLUsers 群組中的成員資格來存取資料庫，但是 EXECUTE AS USER = 'CompanyDomain\SqlUser1' 陳述式會失敗，因為 CompanyDomain\SqlUser1 並未以主體形式存在於資料庫中。

如果使用者被遺棄 (相關聯的登入不存在)，而且使用者並非使用 WITHOUT LOGIN 建立的，該使用者的 EXECUTE AS 將會失敗。

指定一個登入或使用者，它具有執行工作階段中作業所需要的最低權限。例如，如果只需要資料庫層級權限，就不要指定具有伺服器層級權限的登入名稱；或者，除非需要其權限，否則不要指定資料庫擁有者帳戶。

當 EXECUTE AS 陳述式包括選擇性的 WITH NO REVERT 子句時，不能使用 REVERT 或藉由執行另一個 EXECUTE AS 陳述式來重設工作階段的執行內容。陳述式設定的內容會持續有效，直到卸除工作階段為止。

指定 WITH NO REVERT COOKIE = @varbinary\_variable 子句時，SQL Server Database Engine 會將 Cookie 傳遞到 @varbinary\_variable。如果呼叫的 REVERT WITH COOKIE = @varbinary\_variable 陳述式包含相同的 @varbinary\_variable 值，則該陳述式所設定的執行內容只可以還原到先前的內容。

這個選項在使用連接共用的環境中相當有用。連接共用是資料庫連接群組的維護，這些連接是供應用程式伺服器上的應用程式重複使用。因為傳送到 @varbinary\_variable 的值只有 EXECUTE AS 陳述式的呼叫者知道，呼叫者可以保證其所建立的執行內容不會被別人變更。

使用 ORIGINAL_LOGIN 函數來傳回連接到 SQL Server 執行個體的登入名稱。您可以利用這個函數來傳回有許多明確或隱含內容切換的工作階段中原始登入的識別。

下列範例會利用多個主體來建立一個內容執行堆疊。然後再用 REVERT 陳述式，將執行內容重設為前一個呼叫者。REVERT 陳述式在上移堆疊時會執行多次，直到執行內容設為原始呼叫者為止。

USE AdventureWorks;
GO
--Create two temporary principals
CREATE LOGIN login1 WITH PASSWORD = 'J345#$)thb';
CREATE LOGIN login2 WITH PASSWORD = 'Uor80$23b';
GO
CREATE USER user1 FOR LOGIN login1;
CREATE USER user2 FOR LOGIN login2;
GO
--Give IMPERSONATE permissions on user2 to user1
--so that user1 can successfully set the execution context to user2.
GRANT IMPERSONATE ON USER:: user2 TO user1;
GO
--Display current execution context.
SELECT SUSER_NAME(), USER_NAME();
-- Set the execution context to login1. 
EXECUTE AS LOGIN = 'login1';
--Verify the execution context is now login1.
SELECT SUSER_NAME(), USER_NAME();
--Login1 sets the execution context to login2.
EXECUTE AS USER = 'user2';
--Display current execution context.
SELECT SUSER_NAME(), USER_NAME();
-- The execution context stack now has three principals: the originating caller, login1 and login2.
--The following REVERT statements will reset the execution context to the previous context.
REVERT;
--Display current execution context.
SELECT SUSER_NAME(), USER_NAME();
REVERT;
--Display current execution context.
SELECT SUSER_NAME(), USER_NAME();

--Remove temporary principals.
DROP LOGIN login1;
DROP LOGIN login2;
DROP USER user1;
DROP USER user2;
GO

下列範例會將工作階段的執行內容設為指定使用者，並且指定 WITH NO REVERT COOKIE = @varbinary\_variable 子句。REVERT 陳述式必須指定傳給 EXECUTE AS 陳述式中的 @cookie 變數值，才能順利將內容還原回呼叫者。若要執行這個範例，則必須具備在範例 A 中建立的 login1 登入和 user1 使用者。

DECLARE @cookie varbinary(100);
EXECUTE AS USER = 'user1' WITH COOKIE INTO @cookie;
-- Store the cookie in a safe location in your application.
-- Verify the context switch.
SELECT SUSER_NAME(), USER_NAME();
--Display the cookie value.
SELECT @cookie;
GO
-- Use the cookie in the REVERT statement.
DECLARE @cookie varbinary(100);
-- Set the cookie value to the one from the SELECT @cookie statement.
SET @cookie = <value from the SELECT @cookie statement>;
REVERT WITH COOKIE = @cookie;
-- Verify the context switch reverted.
SELECT SUSER_NAME(), USER_NAME();
GO